Das Landgericht Frankfurt entschied, dass es nicht erlaubt ist das Tool zur Reichweitenanalyse „Piwik“ einzusetzen, ohne darauf in der Datenschutzerklärung hinzuweisen (LG Frankfurt/Main, 18.02.2014, Az. 3-10 O 86/12).
Damit bestätigten die Richter eine juristische Trendwende, auf die Sie sich unbedingt vorbereiten sollten. Fehler in Datenschutzerklärungen werden demnach ähnlich hart sanktioniert wie Impressumsfehler.
Worauf Sie dabei achten müssen, erkläre ich Ihnen im Rahmen dieses Beitrags.
Datenschutzverstöße sind abmahnbar
Wettbewerber können sich gegenseitig wegen Wettbewerbsverstößen abmahnen. Als Wettbewerbsverstöße gelten auch Gesetzesverstöße, wenn diese Gesetze als Marktverhaltensregeln dazu dienen einen fairen Wettbewerb zu sichern (§ 4 Nr.11 UWG). D.h. die Gesetze sind nicht nur dazu da, um andere Individuen (z.B. Strafgesetze) oder den Staat zu schützen (z.B. Steuergesetze).
Bis vor ein paar Jahren entschieden die Richter, dass Datenschutzgesetze nur andere Individuen schützen sollen und damit keine Marktverhaltensregeln sind (außer sie wurden gezielt zu eigenen Bereicherung eingesetzt). Doch es ist eine deutliche Trendwende zu beobachten.
So entschied z.B. das OLG Hamburg (Urteil v. 27.06.2013, Az: 3 U 26/12) letztes Jahr, dass die Pflicht Websitebesucher über „Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“ aufzuklären (§ 13 Abs.1 TMG), auch der Sicherung des fairen Wettbewerbs gilt (lesen Sie dazu meinen Beitrag „Abmahnung wegen fehlerhafter Datenschutzerklärung – Sichern Sie sich ab mit Datenschutz-Generator.de„).
Das heißt, Sie können abgemahnt werden, wenn Sie Ihre Websitebesucher nicht ausreichend darüber informieren, wie Sie mit deren Daten umgehen. Das gilt ganz besonders, wenn Sie Tools zur Reichweitenanalyse einsetzen.
Vorgaben für Statistiktools
Da Sie Ihre Websitebesucher selten persönlich treffen, wollen Sie natürlich deren Websitenutzung mit Hilfe von Statistik-Software analysieren (auch „Reichweitenmessung“ oder „Tracking“ genannt).
Dabei dürfen Sie personenbezogene Daten der Benutzer (zu denen wird auch die „IP-Adresse“ gezählt) nur mit deren Einwilligung erfassen. Wenn Sie dagegen nur pseudonyme Daten erfassen, reicht es aus, wenn Sie die Besucher darüber aufklären und Ihnen eine Widerspruchsmöglichkeit geben (§ 15 Abs.3 TMG).
Diese Vorgaben müssen Sie auch befolgen, wenn Sie das Statistiktool „Piwik“ einsetzen. Piwik gilt zwar als datenschutzfreundlich, wenn die IP-Adresse anonymisiert wird, aber trotzdem erstellt die Software pseudonyme Nutzerprofile. Vereinfacht gesagt, wissen Sie dank Piwik wie sich die einzelnen Besucher Ihrer Website verhalten (z.B. welche Inhalte sie besonders interessieren), auch wenn sie deren konkrete Identität nicht kennen.
Hinweis: Wenn Sie die gesetzlichen Hintergründe und den Unterschied zwischen „personenbezogen“, „pseudonym“ und „anonym“ erfahren möchten, empfehle ich Ihnen meinen Beitrag „Social Media Monitoring, CRM, HR & Recht – Teil 4 – Tracking, Targeting & Online Behavioral Marketing„.
Datenschutzgerechter Einsatz von Piwik
An dieser Stelle kürze ich etwas ab, da ich bereits vor zwei Jahren eine Anleitung zum datenschutzgerechten Einsatz von „Piwik“ verfasst habe. Daher verweise ich auf den Artikel: „Piwik als Alternative zu Google Analytics? (Mit Datenschutzmuster)„.
In dem Beitrag finden Sie auch ein Muster für die Datenschutzerklärung, dass Sie unbedingt in Ihre Datenschutzerklärung aufnehmen sollten. Beachten Sie jedoch, dass es nicht reicht den Hinweis an beliebiger Stelle Ihrer Website zu platzieren. Sollten Sie sich in einem der Punkte nicht ganz sicher sein, sollten Sie sich immer professionelle und individuelle Beratung suchen.
Hinweis zu Google Analytics: Was für Piwik gilt, gilt für Google Analytics erst recht. Wenn Sie Googles Statistiktool einsetzen, sollten Sie daher diese Anleitung lesen: „Google Analytics rechtssicher nutzen – Anleitung und Muster für Webmaster„.
Datenschutzerklärung bedarf einer eigenen Rubrik
Oft sehe ich Datenschutzhinweise in Rubriken wie „Impressum“, manchmal sogar in den „Website-AGB“ oder unter „Kontakt“. Das LG Frankfurt hat in dem o.g. Urteil entschieden, dass die Datenschutzerklärung für die Websitebesucher als solche erkennbar sein muss.
Daher müssen Sie die Rubrik
- Datenschutzerklärung,
- Datenschutzhinweise oder,
- Datenschutz nennen.
Sie können auch Rubriken verbinden und sie z.B. „Impressum/Datenschutz“ bezeichnen. Wenn Sie sich an diese Vorgaben nicht halten, gilt Ihre Datenschutzerklärung als nicht existent.
-
Rechtsbelehrung Folge 4: Die Datenschutzerklärung
- Hörtipp: Mehr über die Grundlagen und Inhalte einer Datenschutzerklärung können Sie in dieser Folge des Rechtsbelehrung-Podcasts erfahren. Weitere Informationen
- [powerpress url=“http://rechtsanwalt
-schwenke.de/wp-content/uploads/podcast/rechtsbelehrung004-Datenschutzerklaerung.mp3″]
Fazit
Heutzutage muss jede Website über eine Datenschutzerklärung verfügen. Das gilt ganz besonders, wenn Sie Tools zur Reichweiteanalyse einsetzen.
Nur wenn Sie wirklich keine Nutzerdaten erheben oder bloß anonyme Daten, können Sie auf die Datenschutzhinweise hierzu verzichten. Doch das wird eine äußerst seltene Ausnahme sein, denn bereits die Webserver erfassen die Daten der Besucher, auch wenn es zu Sicherheitszwecken erfolgt.
Wenn Sie noch keine Datenschutzerklärung haben, empfehle ich Ihnen unseren Datenschutzgenerator.de, der u.a. auch über einen Passus für Piwik verfügt. Gerne erstelle ich Ihnen auch eine individuelle Datenschutzerklärung, was bei größeren Projekten und Rückfragen sinnvoll ist.
Weitere Informationen
- LG Frankfurt: Einbindung von Trackingtools (hier Piwik) ohne ausreichende Datenschutzerklärung und Widerspruchsbelehrung abmahnfähig von RA Carsten Ulbricht
- LG Frankfurt: Auf Tracking muss vorab hingewiesen werden von RA Thomas Stadler, der das Urteil kritisch betrachtet
- Webtracking demnächst nur noch mit Einwilligung? ebenfalls kritisch betrachtet von Prof. Nico Härting
- Nutzer müssen Piwik-Analyse widersprechen können bei Golem.de mit einen Statement vom schleswig-holsteinischem Datenschutzbeauftragten Thilo Weichert
- Ein einzelner Punkt ist nötig für die Datenschutzerklärung der Homepage! von RAin Viola Lachenmann, die erklärt warum ein gesonderte Rubrik für die Datenschutzerklärung notwendig ist
[callto:nutzerdaten_agb]
Hallo Herr Schwenke,
vielen Dank für den Artikel. Allerdings fasse ich das Urteil, als nicht Jurist, etwas anders auf. Vielleicht stehe ich da auf dem Schlauch, aber ich werde mal etwas erörtern.
Golem Link: http://www.golem.de/news/urteil-zu-tracking-nutzer-muessen-piwik-analyse-widersprechen-koennen-1403-105055.html
Da wird zitiert: „In seinem Urteil übernimmt das Gericht diese Auffassung. Aufgrund dieser Piwik-Funktion müsse der Webseitenbetreiber deutlich auf die Widerspruchsmöglichkeit der Analyse hinweisen, schreiben die Richter. Möglich sei ein Pop-up oder ein „deutlich hervorgehobener Hinweis mit einem Hyperlink auf der Startseite“.“
Ich verstehe dies so, das es nicht ausreichend ist einen Hyperlink zu der Datenschutzerklärung zu setzen, sondern das explizit auf Piwik hingewiesen werden muss, und zwar als Pop-Up oder einen deutlich hervorgehobenen Hinweis mit einem Hyperlink.
Dies wird auch noch mal mit dem Zitat „Es sei nicht ausreichend, wie im konkreten Fall, die Datenschutzbestimmungen auf der Kontaktseite zu platzieren. “ bestätigt.
@Dennis
Genau diese Widerspruchsmöglichkeit ist abstrus, denn wenn ich auf der Seite bin, wird bereits getrackt, sowohl vom Server als auch vom Browser (zumindest in der History) und spätestens von Piwik. Bei Piwik könnte man es mit deutlichen Umständen noch programmtechnisch so hinschustern, dass es bestimmte IPs oder Besucher von Tracking ausnimmt.
Aber mit welchen Mitteln?
Cookie? Was ist, wenn der Besucher einer Speicherung dieses Cookies widerspricht oder Cookies ausgeschaltet hat? Oder angenommen, der Besucher besucht von Firmencomputer aus, und das Cookie liegt im Bereich des Browsers auf dem PC und der Chef wertet die Cookies aus?
Oder aber die IP wird ausgeschlossen, dann muss sich dank wechselnder IPs das selbstgestrickte Programm merken, welche IP gerade nicht getrackt werden darf, und aber gleichzeitig berücksichtigen, dass in einigen Stunden diese IP von einem anderen Besucher genutzt werden könnte und wieder frei zu geben ist.
Der Witz an der Sache ist, das Gericht geht davon aus, dass man dauerhaft den Widerspruch speichern müsse… (muss man sich als Entwickler auf der Zunge zergehen lassen)
…folglich müsste man ein möglichst genaues persönliches Profil des Besuchers in der Datenbank speichern, um ihn später wieder zu erkennen. Dass Cookies nicht unbedingt dazu geeignet sind, wurde hier auch in andere Sache in einem Artikel festgestellt, denn Cookies beziehen sich nur auf den einen Browser und den PC und die Domain, aber nicht auf den Besucher! Mit Cookies kann man also nur momentane technische Verhältnisse sperren, aber nicht den leiblichen Besucher.
Da fällt mir dann nur noch eine Passkontrolle mit persönlichem Zertifikat ein.
Hirnriss das alles.
Wo kann ich hier der Datensammlung des Webservers widersprechen?
Und warum wurde ich nicht vorab (!) auf die Verknüpfungen nach fonts.googleapis.com, twitter.com, sharethis.com, exali24.de, wickiemedia.net, wp.com, gravatar.com, creativcommons.org, wordpress.com, google-analytics.com, facebook.com, google.com, widgetsplus.com und facebook.net hingewiesen und mir eine Nutzung ohne diese Tracker (den sie tracken mindestens meine IP) ermöglicht?
Was nützt mir die schönste Datenschutzerklärung hier irgendwo, wenn ich beim Besuch der Seite schon von all diesen Verlinkungen betroffen werde?
Oder anders: Merkt eigentlich keiner mehr diesen Schwachsinn des Deutschen Datenschutzgesetzes und den Hirnriss dieses Urteils?
WER kann eine Seite betreiben, ohne nach dieser Auslegung „persönliche Daten“ zu erfassen? WER hat die Kontrolle über die Server-Logfiles? WER (hier) hat die Kontrolle über die Plugins und Themes seiner WordPress-Installation, die manchmal auch „nachhause telefonieren“?
Ich möchte einfach mal einem Laien und ambitionierten Fortgeschrittenen absprechen, dass er in der Lage wäre, eine umfängliche Datenschutzerklärung abzugeben, weil er das gar nicht unter Kontrolle hat. Wer hat seine Webseite selbst Programmiert, wirklich selbst auf weißem Blatt Papier angefangen, und weiß ganz genau, was sein Programm tut? Wer setzt seinen Server selbst in seinen eigenen Räumlichkeiten auf und weiß ganz genau, was das Ding da tut? Wer ist in der Lage, über alle Möglichkeiten einer IP-Speicherung Auskunft zu geben?
Die Datenschutzerklärung hier ist auch absurd, wenn da steht, dass Daten im technisch notwendigen Umfang erhoben werden, aber die Kanzlei nichts dafür kann und nichts daraus schließen kann. Laut dem Datenschutz und dem Urteil genügt schon die Abstrakte Möglichkeit, einen Rückschluss auf die Person ziehen zu können.
Was hier in der Datenschutzerklärung steht, ist der banale Stand der Dinge, hat aber mit Datenschutz absolut nichts zu tun, da könnte ich auch Wikipedia lesen. Dagegen lese ich, dass hier Dienste und Inhalte Dritter eingebunden sind, aber wie kann ich mich dagegen schützen, wenn ich nur diesen Text lesen will, aber z.B. nicht, dass Google mit über seine Dienste trackt?
Dass die Kanzlei nicht auf deren Daten zugreifen kann, tut den Datenschutz keinen Abbruch, denn für mich ist klar, dass Daten gesammelt werden, auch über Dienste wie googleapis.com oder gravatar.com.
Und ich bin mir ziemlich sicher, dass hier ein oder mehrere Sicherheitsplugins laufen, die ungebetene Gäste draußen halten sollen. Diese Plugins loggen alle auch fleißig mit und diese Daten stehen in der Datenbank und können auch als Tracking benützt werden. Dass die Daten nicht so schön wie in Piwik für Besucherstatistik aufgearbeitet sind, heißt nicht, dass sie nicht dafür nutzbar wären. Die Möglichkeit ist bei weitem nicht so abstrakt wie die, dass man anhand einer IP-Adresse herausfinden könnte, wer da einen besucht.
Ich hätte mir in dem Artikel „etwas“ Kritik zu diesem Urteil und dem Unsinn des Deutschen Datenschutzgesetzes gewünscht. Das Urteil ist fatal und muss wieder aufgehoben werden, denn es geht da nicht nur um Piwik. Und das Gesetz ist falsch, es passt nicht und muss neu gemacht werden.
Reklamefreie Baustellen-Seiten sowie private one-page Kontakt-Seiten brauchen doch weder Impressum noch Datenschutz, richtig?
Impressum und Datenschutz sind zwei Paar Schuhe, denn die Seite sammelt durch die Klicks bereits Daten, selbst wenn diese sich nur im Server Logfile befinden.
Viel Spass dabei, wenn man dafür dann eine Widerspruchsmöglichkeit inklusive Übermittlung oder Löschung der „persönlichen Daten“ einbauen soll.
Und rein technisch könnte bereits in einer Baustellenseite ein Besucher-Tracker eingebaut sein, warum auch immer, denn das was man sieht, muss nicht das sein, was dahinter steckt.
Tja, die Vorteile von Piwik oder besser gesagt, sein Vorteil war ja in der Datenschutzkonfomität. Nun ist dieser Vorteil passe. GA wird immer besser und PIWIK kann bei dieser Entwicklung nicht richtig Schritt halten. Datenschutzverstöße sollten eigentlich schon längst abgemahnt werden. Das ist eine vollkommen logische Entwicklung.
Mal eine provozierende Frage: Wann werden eigentlich Rechtschreib- und Kommafehler auf einer Webseite abmahnfähig?
Oder eine Anmerkung zu dem vorliegenden Fall, um mit einem Zitat von Reinhard Fendrich zu antworten: „Der Grund warum’s schreit, ist der blanke Neid.“
Das Thema ist höchst Interessant! Danke für die Aufklärung. 🙂
Bin bei Piwik auf die genauere Standorterkennung via GeoIP (Php)
gestossen. Darf diese Verwendet werden?
Diese Art der Standortbestimmung ist am einfachsten zu installieren, da Sie keine Serverkonfiguration benötigt (Ideal für Shared Hosting!). Sie verwendet eine GeoIP-Datenbank und die PHP-API von MaxMind um den Standort eines Besuchers genau zu bestimmen.
Fall Ihre Webseite viel Traffic hat, könnte Ihnen diese Standorterkennung zu langsam sein. In diesem Fall sollten Sie die PECL-Erweiterung oder ein Server-Modul installieren.