Schlagwort-Archive: Datenschutzerklärung

Google Play verlangt jetzt Datenschutzerklärung für Apps bis zum 15.03! (was nach dem Gesetz und den bestehenden Entwicklerrichtlinien an sich keine neue Anforderung ist)

Nach einer Meldung vom gestrigen Tage (09.02.) (u.a. bei Heise, GoogleWatchBlog, ZDNet) verlangt Google Play nun, dass in den Store eingestellte Apps eine Datenschutzerklärung enthalten – und droht mit dem Entfernen der Apps aus dem Store, wenn nicht bis zum 15. März (!) Datenschutzrichtlinien vorliegen. Mhm, dachte ich, okay, der 15.03., das ist mal ein knackiger Zeithorizont für die App-Betreiber und wird bei dem einen oder anderen für Schweiß auf der Stirn sorgen. Aber sonst? Eigentlich ist das alles doch nichts Neues?

Nun aber von vorne und der Reihe nach: Wie ist die Rechtslage, was will Google und was müssen Sie als App-Betreiber tun?

Weiterlesen

Die EU-Datenschutzgrundverordnung (EU-DSGVO) ist da! – Worauf müssen sich Unternehmen einstellen? – Teil 5

Mitautor: Christian Frerix*

Die Informationspflichten und Auskunftspflichten der Unternehmen

Das letzte Mal, dass die Datenschutzgrundverordnung, kurz DSGVO, hier Thema war, war Ende August. Mehr als ein Monat ist seit dem vergangen. Ein Monat weniger, der Ihnen als Unternehmen zur Verfügung steht, um sich auf die DSGVO mit allen Neuerungen vorzubereiten.

Im August hatten wir die Dokumentations-, Datensicherungs- und Meldepflichten der Unternehmen im Blick. Heute soll es vor allem um die Informationspflichten und Auskunftspflichten der Unternehmen gehen. Ergo, wann und wie sind die Betroffenen (also diejenigen, deren Daten erhoben werden) zu informieren und wie sieht es mit den Auskunftsrechten bzw. -pflichten aus. Auch hier gibt es einige Änderungen, die Sie als Unternehmen unbedingt kennen und bis 2018 umsetzen müssen.

Weiterlesen

Der „One Pager“ des Bundesministeriums der Justiz und für Verbraucherschutz (BMJV) – Die schnelle und einfache Alternative zur Datenschutzerklärung?

Mitautor: Christian Frerix, wissenschaftlicher Mitarbeiter*

Das BMJV hat vor gut zwei Wochen, am 19.11.2015, als Ergebnis des diesjährigen IT-Gipfels ein „Muster für Datenschutzhinweise“ auf nur einer DIN-A4-Seite vorgestellt. Dieser sog. „One Pager“ soll nach eigener Aussage nun von Unternehmen genutzt werden können, um ihre Datenverarbeitung gegenüber Verbraucherinnen und Verbrauchern auf einfache Weise im Internet transparent zu machen. Hilfestellungen gibt’s im Rahmen einer Erläuterung für den Verwender des „One Pagers“. Das klingt erstmal nicht schlecht. Haben doch selbst schon einfache Unternehmenswebseiten Datenschutzerklärungen, die gerne vier DIN-A4-Seiten umfassen. Bei etwas komplexeren Telemediendiensten bzw. Geschäftsmodellen können es auch einmal fünfzehn Seiten werden.

Doch wer sich jetzt schon auf das Ende des Leidens (ergo, der umfangreichen Informationspflichten) und eine knackige Lösung zum „Selbermachen“ freut, den müssen wir an dieser Stelle leider enttäuschen. Die gesetzlichen Anforderungen an den Inhalt von Datenschutzerklärungen haben sich nämlich nicht geändert.

Angesichts dieser Tatsache drängt sich  förmlich die Frage auf, wie das BMJV den Regelungsinhalt von fünf bis zehn Seiten auf einer Seite unterbringen kann? Die Antwort führt leider zur nächsten Enttäuschung: Gar nicht.

Denn noch bleibt ein Gedanke: Wenn also weiterhin umfangreich informiert werden muss und das BMJV das irgendwie mit einer DIN-A4-Seite schafft, dann kann ich das als Unternehmen schon lange! Deshalb spar ich mir die „richtige“ Datenschutzerklärung in Zukunft einfach! Oder?

Nun ja, sagen wir es mal so:

Warum der „One Pager“ eine Datenschutzerklärung nicht ersetzt und für wen er dennoch nützlich sein kann, wird im nachfolgenden Beitrag geklärt.

Weiterlesen

Von der Idee über die Entwicklung bis zur Vermarktung einer App – Wo liegen die rechtlichen Hürden? (Part 2)

Mit Schrecken muss ich feststellen, dass wir den 18. Mai 2015 schreiben. Das bedeutet, dass die Veröffentlichung des ersten Teils zu den rechtlichen Hürden von App-Entwicklung und App-Vermarktung fast zwei Monate zurück liegt. Huch. Nun denn, jetzt aber.

Während sich der erste Teil mit Fragen des Markenrechts („Wie soll das Kind denn heißen?“) sowie mit IT-Verträgen und Softwarelizenzen im Rahmen der App-Erstellung herumschlug, beschäftigen wir uns im folgenden einmal mit dem Impressum, der Einbindung von Dritt-Services, und insbesondere dem Datenschutz (ach ja, ich weiß… das ungeliebte Kind 😉 ) sowie last but not least, dem Vertrag zwischen dem App-Betreiber und dem End-Nutzer.

Weiterlesen

Truffls – Tinder für Jobs. Klingt cool. Kann das rechtlich sauber gehen?

Nicht nur in der täglichen Mandatsarbeit haben wir ständig mit Apps und deren rechtlichen Gegebenheiten zu tun, auch hier auf dem Blog haben wir das zunehmend wichtig werdenden Thema  vermehrt auf die Agenda gehoben. Erst im September hatten wir anhand von Tinder & Co einmal grundlegend den datenschutzrechtlichen  Rahmen von Apps vorgestellt. Und im Juli beschäftigten wir uns mit der „Hot or not“-App für Kollegen namens Knozen befasst.

Letztere ist in der rechtlichen Bewertung nicht so gut weggekommen, insbesondere nicht, wenn man aus der Brille des Personalers auf Knozen guckt (die mehr oder minder ausführliche rechtliche Einschätzung findet sich im Recrutainment Blog, im unteren Abschnitt des Artikels  Knozen: Mitarbeiter bewerten Kollegen per iPhone-App -´Crowdsourced Personality Profile´ oder schlicht ´der Kollege, der mich anschwärzt´?).

Nun gibt es etwas Neues: Truffls. Truffls ist Tinder für Jobs. Als der Name dieser App in meiner Timeline auftauchte, dachte ich zunächst „Ja, ja, schon wieder so ein Murks aus den USA, bei dem wahrscheinlich erstmal die Seele verkauft werden muss….“. Irgendwo hieß es dann aber, dass die App aus Deutschland kommt. Aus Deutschland? So was Innovatives? Na, das musste ich mir trotz aller derzeit vorhandener Arbeitsbelastung dann doch angucken.

Truffls funktioniert wie Tinder. Nur für Jobs.

Weiterlesen

Google ändert teilweise Links zu den Datenschutz-Regelungen: Prüfen Sie Ihre Datenschutzerklärungen!

Am 31. März hat Google seine Datenschutzrichtlinien aktualisiert, dabei hat Google die Links zu den datenschutzrechtlichen Informationen zu Google Analytics sowie zu den datenschutzrechtlichen Informationen bezüglich des +1 Butttons verändert. Dies führt dazu, dass in zahlreichen Datenschutzerklärung die Links zu den weiterführenden Informationen bei Google im Nirvana landen und dem User die weiterführenden Informationen zur Google Analytics oder dem +1 Button nicht mehr ohne weiteres zugänglich sind.

Bitte prüfen Sie in Ihrem eigenen Interesse Ihre vorhandenen Datenschutzerklärungen und tauschen Sie gegebenenfalls Ihre Links aus. Hier im Folgenden nun die neuen Links:

Datenschutzrechtliche Informationen zu Google Analytics (http://www.google.com/intl/de/analytics/learn/privacy.html)

Datenschutzrechtliche Informationen bezüglich des +1 Buttons 
(https://www.google.com/policies/privacy/partners/?hl=de)

Unverändert geblieben sind die Links zu den allgemeinen datenschutzrechtlichen Hinweisen sowie zum Browser-Add-On für die Deaktivierung von Google Analytics:

Allgemeine Datenschutzhinweise (kein neuer Link, aktualisierte Fassung vom 31. März 2014)

Browser-Add-on zur Deaktivierung von Google Analytics (kein neuer Link)

In diesem Sinne,

immer froh weiter mit dem Datenschutz.

 

Es wird alles nicht leichter – Google Analytics in der mobilen Nutzung

Dass Google Analytics nach Meinung der Datenschutzbehörden durchaus rechtskonform genutzt werden kann, beschrieb ich schon im September 2011 im Artikel „Google Analytics kann rechtskonform verwendet werden!„.

Voraussetzung für die datenschutzkonforme Nutzung war bislang, dass

  • dem Nutzer einer Website die Möglichkeit zum Widerspruch (Opt-out) gegen die Erfassung von Nutzungsdaten mittels des Deaktivierungs-Add-On eingeräumt wird (für alle gängigen Browsern),
  • dass Google auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist
  • und dass der Webseitenbetreiber einen schriftlichen Vertrag zur Auftragsdatenverarbeitung nach Vorgabe von § 11 BDSG abschließt (Den Vertrag mit Google gibt es hier als pdf.)

Der Kollege Thomas Gramespacher merkte in den Kommentaren schon 2011 an „… und was ist mit Mobil-Browsern/mobilen Versionen? Immer werden die armen kleinen Mobilversionen vergessen! ;-(

Recht hatte er schon damals. Denn das Deaktivierungs-Add-On funktioniert mobile nicht. Soweit so gut. Gekümmert hat das zunächst nicht. Doch in den letzten zwei Jahren hat die Nutzung von Smartphones, um im #Neuland zu surfen, erheblich zugenommen. Und so tauchte dieses Problem in diesem Jahr nun doch auch auf der Agenda der Datenschutzbehörden auf.

Diesen zu Folge muss ein Seitenbetreiber, der ein Webangebot vorhält, dass speziell für mobile Nutzung ausgelegt ist (was eigentlich das Ziel eines jeden Seitenbetreibers sein sollte…) eine eigene Widerspruchslösung für die mobile Version implementieren.

Google bietet auch hier Hilfe an und zeigt hier unter dem Punkt „Disabling Tracking“ anhand eines einfachen Beispiels wie diese Widerspruchslösung (Opt-Out) ein- bzw. aufgebaut werden kann.

Mit unschönen Schreiben von den Datenschutzbehörden wegen der rechtswidrigen Einbindung von Google Analytics auf mobilen Seiten ist zwar aufgrund der grundsätzlichen Überlastung der Datenschutzbehörden (derzeit) nicht so zwingend zu rechnen, als dass Webseitenbetreibern nun akut der Schweiß auf der Stirn stehen müsste. Aber seit dem Urteil des OLG Hamburg zur wettbewerbsrechtlichen Abmahnfähigkeit von mangelhaften Datenschutzerklärungen durch Mitbewerber, können eben diese mit Abmahnung angreifen.

Insoweit sollten – gerade wenn man Google Analytics nutzt UND die Webseiten (von Apps ganz zu schweigen) mobile-optimiert sind – Webseitenbetreiber an die Umsetzung nach der Empfehlung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit denken.

Der geschätzte Kollege Schwenke hat sich heute übrigens auch mit dem Thema befasst und teilt meine Einschätzung, dass es die Umsetzung zur datenschutzkonformen Verwendung schlicht kompliziert, bzw. „benutzerunfreundlich“ ist. Tja. Ist ja nicht so schlimm. Google Analytics benutzt ja kaum einer… *hust.

In diesem Sinne,

auf dass es einfacher werden möge!

OLG Hamburg: Mangelhafte Datenschutzerklärungen sind wettbewerbswidrig und mit Abmahnungen angreifbar

Das Oberlandesgericht Hamburg hat Ende Juni eine insbesondere für Agenturen und deren Auftraggeber zwingend zu berücksichtigende Entscheidung (Az. 3 U 26/12) getroffen. Und zwar zum einen hinsichtlich der Frage, ob die Informationspflicht bei Datenerhebungen nach dem Telemediengesetz eine sogenannte Marktverhaltensnorm ist, bei der ein Verstoß eine wettbewerbsrechtliche Abmahnung auslösen kann. Und zum anderen hinsichtlich der Frage, ob neben der ausführenden Agentur auch das beauftragende Unternehmen im wettbewerbsrechtlichen Sinne in Anspruch genommen werden kann.

Doch worum geht es konkret und im Einzelnen?

I. Der Sachverhalt

Das Unternehmen U vertreibt Blutdruckmessgeräte. Der Hersteller H ebenfalls. Der Hersteller beauftragte den Dienstleister D mit der Schaltung von Werbung im Internet. D schaltete Werbung, mittels derer letztlich Diabetiker aufgefordert wurden, sich zu über das Internet zu registrieren, um so dann das Gerät es Herstellers H „unter Alltagsbedingungen zum Kennenlernen“  zu erhalten.  Die vom Dienstleister D betriebene Internetseite, auf der die Registrierung vorzunehmen war, enthielt weder ein Impressum noch Informationen zur Erhebung und Verwendung der für die Registrierung der angesprochenen Kunden erforderlichen personenbezogenen Daten.

U wandte sich nun jeweils mit einer Abmahnung gegen den Dienstleister, der diese Werbung schaltete sowie die Landing-Page betrieb und gegen den Hersteller der Blutdruckgeräte, der auch den Dienstleister beauftragt hatte. U machte mit der Abmahnung

  1. einen Verstoß gegen § 7 Abs. 1 HWG (Heilmittelwerbegesetz),
  2. einen Verstoß gegen die Impressumspflicht nach § 5 TMG (Telemediengesetz),
  3. einen Verstoß gegen Informationspflicht nach § 13 TMG,

jeweils in Verbindung mit §§ 3, 4 Nr. 11 UWG (Gesetz gegen den unlauteren Wettbewerb), wonach der Verstoß gegen gesetzliche Vorschriften eine unlautere und mithin verbotene geschäftliche Handlung darstellt, geltend.

Während der Dienstleister umgehend eine strafbewehrte Unterlassungserklärung abgab, verweigerte sich dem der Hersteller. Folglich machte das Unternehmen U weiter gerichtlich seine Forderung auf Unterlassung und Kostentragung gegen den Hersteller H geltend.

Der Hersteller H suchte sich mit den Argumenten zu verteidigen, die Abmahnung entbehre schon inhaltlich jeder Grundlage und zudem könne er selbst gar nicht angegriffen werden, da schließlich die Agentur alles (falsch) gemacht habe.

II. Die Entscheidung des OLG Hamburg

Das OLG Hamburg stellte unmissverständlich klar, dass der Hersteller vorliegend selbstverständlich für einen Verstoß seines Dienstleisters haftet. Dies ergibt sich auch wörtlich aus § 8 Abs. 2 UWG, in dem es heißt:

„Werden die Zuwiderhandlungen in einem Unternehmen von […] Beauftragten begangen, so sind der Unterlassungsanspruch und der Beseitigungsanspruch auch gegen den Inhaber des Unternehmens begründet“

Beauftragter im Sinne dieser Norm ist wiederum jeder, der, ohne Mitarbeiter zu sein, für das Unternehmen eines anderen auf Grund eines vertraglichen oder anderen Rechtsverhältnisses tätig ist und hierbei in die betriebliche Organisation dergestalt eingliedert ist, dass der Erfolg seiner Handlung zumindest auch dem Unternehmensinhaber zugute kommt und dem Unternehmensinhaber ein bestimmender und durchsetzbarer Einfluss jedenfalls auf die beanstandete Tätigkeit eingeräumt ist (Vgl.: Köhler/Bornkamm, § 8, Rn. 2.41). Tja, und da der Hersteller H den Dienstleister D nun einmal zum Zweck der Bewerbung der Produkte vertraglich eingeschaltet hat und zugleich in die Abwicklung der Werbeaktion eingebunden war (der Hersteller hat natürlich die Daten letztlich erhalten und die Blutdruckgeräte versendet), ist die Haftung des Herstellers neben der des Dienstleisters für die genannten Verstöße eindeutig.

1. Verstoß gegen das Heilmittelwerbegesetz

Hierzu will ich mich an dieser Stelle gar nicht weiter auslassen, wen es interessiert, der mag das Urteil selbst, insbesondere die Randzeichen 33 bis 40 lesen. Das Gericht sah jedoch einen Verstoß gegen das Heilmittelwerbegesetz als gegeben an.

2. Verstoß gegen die Impressumspflicht

Uhaaaa. Die Geschichte hat sooooo’nen Bart und kostet das Gericht folglich auch nur müde sechs Zeilen (man möge die lapidare Ausdrucksweise verzeihen): Ein fehlendes Impressum des die Seite betreibenden Dienstleisters D ist natürlich ein Verstoß gegen die Impressumspflicht, welcher auch wettbewerbsrechtliche Relevanz hat. (Wer mehr wissen will, mag das Urteil des KG Berlin Az. 103 O 34/10 lesen, das sich ausdrücklich mit diesem Thema befasst.)

3. Verstoß gegen die Informationspflichten

Nun wird es aber hochgradig spannend. Nicht nur, weil der Datenschutz dank Edward Snowden sowieso gerade in aller Munde ist und ich mir vor zwei Tagen zum Recht der informationellen Selbstbestimmung in Zeiten von #prism und #tempora die Finger wund geschrieben habe, sondern aus dem folgenden Grund:

Bislang ist umstritten, ob datenschutzrechtliche Normen wettbewerbsrechtlich relevant sind und damit ob ein Verstoß gegen eine solche Norm von einem Mitbewerber mit einer wettbwerbsrechtlichen Abmahnung quittiert werden kann.

Einfallstor für den wettbewerbsrechtlichen Bezug und damit die Abmahnung ist der schon genannte § 4 Nr. 11 UWG, in dem es heißt

„Unlauter handelt insbesondere, wer einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Marktteilnehmer das Marktverhalten zu regeln.“

Die Frage ist also, ob die Vorschrift des § 13 Abs. 1 TMG, wonach Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten […] n allgemein verständlicher Form zu unterrichten sind, eben eine solche „Marktverhaltensnorm“ im Sinne des UWG darstellt. 

Das KG Berlin hat in seiner Entscheidung vom 29.04.2011 (Az. 5 W 88/11)  eine solche wettbewerbsbezogene Funktion des § 13 Abs. 1 TMG nicht erkannt. Die Norm solle nur gewährleisten, dass der Nutzer sich einen umfassenden Überblick über die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten verschaffen kann. Und weiter: Für die Beurteilung, ob ein Verstoß im Sinne des § 4 Nr. 11 UWG vorliegt, ist es unerheblich, ob sich ein Unternehmen durch die Missachtung einer derart auf den Datenschutz bezogenen Informationspflicht einen Vorsprung im Wettbewerb verschafft.

Verstanden habe ich diese Argumentation schon damals nicht und schrieb bereits im Oktober 2012 Zusammenhang mit einem Artikel von Dr. Thilo Weichert „Datenschutz als Geschäftsmodell – Der Fall Facebook“ das Folgende:

Die bestehende Auffassung von einigen Gerichten (KG Berlin, OLG München), dass Datenschutznormen keine Marktverhaltensregelungen im Sinne des UWG darstellen und der Verstoß dagegen deswegen von Mitbewerbern nicht angegriffen werden kann, mutet vor dem Hintergrund, dass eben heutzutage mit eben jenen (wie auch immer erlangten) Daten ein großes Geschäft gemacht wird (also derjenige, der den Datenschutz mit Füßen tritt im Zweifel einen Wettbewerbsvorteil erlangt), nahezu skurril an.“

Das OLG Hamburg sieht dies nun ebenso, denn es führt aus:

„Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln“

Die Begründung des OLG Hamburg unter Randzeichen 58 zur Marktbezogenenheit der Datenschutznorm ist insgesamt sehr lesenswert.

III. Und nun? Was bedeutet das?

Nun stehen sich zwei oberlandesgerichtliche Rechtsprechungen konträr gegenüber. Die einen sagen hü, die anderen hott. Meines Erachtens handelt es sich bei der Entscheidung des KG Berlin allerdings um eine Fehlentscheidung, die vor dem Hintergrund der schon erwähnten heutigen wirtschaftlichen Bedeutung von Daten nicht aufrechterhalten werden kann.

Da meiner Meinung aber nicht wirklich eine irgendwie geartete Relevanz für die in anderen Fällen zu entscheidenden Richter innewohnt, ist das Folgende anzumerken:

Da zum einen die Linie der Rechtsprechung (noch) nicht klar ist, es zum anderen aber nun eine bejahende oberlandesgerichtliche Entscheidung zum Thema „Datenschutzregelungen als Marktverhaltensnormen“, ist in jedem Fall dazu zu raten, jeweils eine ordnungsgemäße Datenschutzerklärung vorzuhalten und den Datenschutz an dieser Stelle ernst zu nehmen. Das sollten Werbetreibende aus vertrauensbildenden Gründen und zur Vermeidung von genervten Kunden zwar ohnehin tun, aber vielen ist und war das dann doch relativ egal. Die Entscheidung des OLG Hamburg zeigt aber nun die dem Datenschutz innewohnende wettbewerbsrechtliche Relevanz auf und macht deutlich, dass wettbewerbsrechtliche Abmahnung in diesem Bereich zu Recht ergehen können. Folglich steigt das Risiko von Mitbewerbern und/oder den Mitbewerbern der beauftragenden Unternehmen abgemahnt zu werden.

IV. Last but not least: Zum Verhältnis zwischen Agentur und Auftraggeber

Darüber hinaus sollten sich Agenturen bewusst machen, dass zwar nach außen auch der Auftraggeber wettbewerbsrechtlich neben der Agentur in Anspruch genommen werden kann, aber der Auftraggeber aller Wahrscheinlichkeit nach und mit gutem Recht bei der Agentur aufgrund der Schlechtleistung Regress nehmen und sich die Kosten für den Rechtsstreit ersetzen lassen wird.

Schließlich ist die Agentur grundsätzlich für die für den Auftraggeber durchgeführte Kampagne verantwortlich. Die Agentur ist zunächst mal dafür verantwortlich, dass eine für den Kunden konzipierte und durchgeführte Kampagne frei von Mängeln ist. Ein Mangel kann auch eine rechtswidrige Werbemaßnahme sein (vgl. OLG Düsseldorf, Az.: 5 U 39/02), denn in dem Fall ist die Kampagne faktisch nicht erlaubt, damit nicht durchführbar und die Agentur hat Ihre (Dienst-)Leistung nicht ordnungsgemäß gegenüber dem Kunden, also dem Auftraggeber, erbracht. Nun ist es der Agentur zwar möglich, die Verantwortung für eine rechtliche Prüfung einer solchen Kampagne und damit die rechtliche Verantwortung qua vertraglicher Vereinbarung auf den Kunden/Auftraggeber abzuwälzen. Dies ist jedoch zum einen nicht ganz einfach. Zum anderen wird es dann schwierig, wenn die Agentur von vornherein weiß, dass die empfohlene Kampagne zu gerichtlich durchsetzbaren Ansprüchen gegenüber dem Kunden führen wird, bzw. führen kann. Dann kann sich die Agentur kaum damit exculpieren (juristisch für: herausreden), dass die rechtliche Prüfung der Angelegenheit Sache des Kunden/Auftraggebers gewesen wäre. Im Übrigen: In der harten Realität alles Fragen der jeweiligen Darlegungs- und Beweislast.

In diesem Sinne,

am besten einfach immer gleich vernünftig um den Datenschutz kümmern.

tl;dr: Datenschutz wird immer wichtiger, wer als Agentur und/oder Auftraggeber dem durch die Entscheidung des OLG Hamburg gestiegenen Abmahnrisiko entgegentreten möchte, sollte sich um vernünftige Datenschutzerklärungen mühen.

Autor: Nina Diercks

Google Analytics kann rechtskonform verwendet werden!

Hin und her ging es zwischen Google und insbesondere dem Hamburger Datenschutzbeauftragten – Google Analytics war nach Auffassung von letzterem nicht in Übereinstimmung mit geltendem Datenschutzrecht zu verwenden (ein wenig mehr dazu findet sich in diesem Artikel und in diesem). Seit Ende 2009 führten der Hamburgische Datenschutzbeauftragte im Auftrag des Düsseldorfer Kreises (informelle Vereinigung der obersten Datenschutzaufsichtbehörden für den nicht-öffentlichen Bereich) Gespräche über erforderliche Änderungen des Tracking-Tools für den rechtskonformen Einsatz. Nun, offensichtlich waren diese Gespräche im Ergebnis erfolgreich. Google änderte das Tracking-Verfahren, so

  • dass den Nutzern einer Website die zwingend notwendige Möglichkeit zum Widerspruch gegen die Erfassung von Nutzungsdaten mittels des Deaktivierungs-Add-On eingeräumt werden kann und zwar für alle gängigen Browsern,
  • dass auf Anforderung des Webseitenbetreibers das letzte Oktett der IP-Adresse vor jeglicher Speicherung gelöscht wird, so dass darüber keine Identifizierung des Nutzers mehr möglich ist (Obacht: Das ist zwingend für deutsche Webseitenbetreiber zum rechtskonformen Einsatz!),
  • und dass schließlich die Webseitenbetreiber einen schriftlichen Vertrag (Ja, wirklich schriftlich mit Unterschrift und so!) zur Auftragsdatenverarbeitung nach den Vorschriften des Bundesdatenschutzgesetzes abschließen können (müssen). Dieser Vertrag findet sich hier.

Darüber hinaus muss der Webseitenbetreiber natürlich eine ordnungsgemäße Datenschutzerklärung erstellen. Hilfestellung bei der rechtskonformen Einbindung des Tracking-Tools gibt es vom Hamburger Datenschutzbeauftragten an dieser Stelle: Hinweise für Webseitenbetreiber mit Sitz in Hamburg, die Google Analytics einsetzen.

Also, es geht! Das kleine Deutschland mit den in vielen Augen „komischen“ Datenschutzgesetzen zwingt den Riesen Google. Da kann man dann ja guter Hoffnung sein, dass auch Facebook weitere Schritte unternimmt. 

Und nein, wir wollen jetzt nicht jammern, dass es Irrsinn sei, schriftlich Verträge mit Google abschließen zu müssen. Wir freuen uns jetzt erstmal einfach, dass man Google Analytics rechtskonform benutzen kann. Jawoll.

In diesem Sinne,

Meckerfritzen bitte erstmal nach hinten!

(Wenn ich das Haar in der Suppe gefunden habe, dürfen natürlich auch die wieder alle sofort kommen. 😉 )