Braucht einen Datenschutz-Disclaimer, wer Flattr- oder Facebook-Buttons in sein Blog einbindet? Zu dieser besonders für Blogger spannenden Frage stand mir Thomas Brehm Rede und Antwort. Er ist Experte für Datenschutz- und Wettbewerbsrecht in der Hamburger Kanzlei Kähler und Kollegen.
YuccaTree Post: Muss ich einen Disclaimer auf meine Webseite schreiben, wenn ich Flattr oder den Facebook-Like-Button einbinde?
Thomas Brehm: Hier wäre zunächst mal fraglich, ob eine Impressumspflicht nach § 5 TMG besteht. Das wäre der Fall, wenn der Dienst in Deutschland gezielt User anspricht oder wenn der Dienst aus Deutschland heraus erbracht wird.
YuccaTree Post: Google Analytics muss ich ja als Webseitenbetreiber auch erwähnen – die sind doch auch international und der Dienst wird nicht primär in Deutschland erbracht.
Thomas Brehm: Wenn Sie auf Ihrer Internetseite Google Analytics verwenden, handelt es sich nicht um einen von Google erbrachten Dienst, sondern um eine Auftragsdatenverarbeitung nach § 11 BDSG. “Dienstanbieter” der Website und verantwortlich für die Datenerhebung mittels Google Analytics sind also Sie. Die Erwähnung im Impressum reicht dabei grundsätzlich nicht aus. Es muss auf das Widerspruchsrecht hingewiesen werden und eine einfache und sichere Möglichkeit des Widerspruchs bereitgestellt werden. Das bietet Google Analytics meines Erachtens nicht – auch nicht mit dem neuen Plugin.
YuccaTree Post: Und bei Flattr?
Thomas Brehm: Die Frage ist, was tatsächlich mit dem IFrame passiert, über den der Flattr-Button eingebunden wird. Wenn er tatsächlich genutzt wird, um User zu tracken und IP-Adressen damit protokolliert werden, würde es dafür eine Widerspruchsmöglichkeit brauchen. Wenn damit noch mehr geschieht, z.B. eine Aggregierung mit Nutzerdaten von Flattr-Usern, sogar eine ausdrückliche Einwilligung.
[adrotate group="5"]
YuccaTree Post: Aber der User hat doch seine Einwilligung gegeben, als er sich bei Flattr angemeldet hat?
Thomas Brehm: Das würde nach deutschem Recht nicht reichen, denn nach § 13 TMG müsste eine solche Einwilligung eindeutig, klar und bewusst sein. In den AGB ginge das allerhöchstens durch eine hervorgehobene Passage.
YuccaTree Post: Das würde bedeuten, dass Google Analytics, Flattr und der Facebook-Like-Button im Grunde genommen in Deutschland illegal sind, weil in jedem Fall die Widerspruchsmöglichkeit fehlt?
Thomas Brehm: Das ist mit Hinblick auf Google Analytics richtig. Allerdings muss man hier unterscheiden: Bei Flattr und Facebook handelt es sich nicht um eine Datenverarbeitung durch Dritte für Sie, sondern zu deren eigenen Zwecken. Hier müssten die Anbieter selbst Widerspruchsmöglichkeiten anbieten, wenn sie personenbezogene Daten nicht nur zur Vertragserfüllung gegenüber deren Nutzern verarbeiten.
YuccaTree Post: Auch wenn die in eine deutsche Seite einbinde?
Thomas Brehm: Wer seine Daten in die USA funkt, muss eben damit rechnen, dass er sich in die Hände eines fremden Rechtssystems begibt. Versuchen Sie mal eine Löschungsklage in den USA zu führen. Aber es gibt noch eine ganz wichtige Unterscheidung, nämlich, wer rechtlich für die Datenerhebung verantwortlich ist. Beim Tracking zum Beispiel mit Google Analytics ist das klar: der Websitebetreiber. Wer hingegen Flattr einbindet, lässt ja nicht durch Flattr für sich Daten erheben. Es handelt sich also wohl um eine Datenverarbeitung von und durch Flattr für eigene Zwecke.
YuccaTree Post: Aber ich binde als Blog einen Button ein, der Daten ins Ausland sendet – zumindest potentiell auch bei Leuten, die sich niemals bei Flattr angemeldet haben.
Thomas Brehm: Aber Flattr bearbeitet diese Daten nicht in ihrem Auftrag, sondern im Rahmen des Betriebs des eigenen Dienstes. Wer Flattr einbindet, würde daher höchstens als Störer haften. Dementsprechend: Sie müssten prüfen, ob Flattr Daten missbräuchlich verwendet und insbesondere ob Flattr rechtswidrig Daten erhebt.
YuccaTree Post: Sehe ich es richtig, dass es also im Grunde ein Risiko ist, Flattr einzubinden, bei dem es dann aber egal ist, ob ich einen weiteren Disclaimer auf die Webseite schreibe? Und für den Like-Button von Facebook müsste dasselbe gelten?
Thomas Brehm: Prinzipiell Ja. Grundsätzlich muss der Seitenbetreiber prüfen, ob er rechtswidrige Dienste unterstützt. Ein schönes Bespiel wäre die Einbindung von Werbung für in Deutschland illegale Onlinecasinos, für die auch der Betreiber der Bannerseite haften kann. Wie eine Prüfungspflicht reicht, hängt vom Einzelfall ab. Ich rate bei Zweifelsfällen von einer Einbindung ab
YuccaTree Post: Herr Brehm, vielen Dank für das Gespräch.
Ach Enno, wir haben doch schon genug zu schreiben … Aber danke für die Beleuchtung dieses wichtigen Aspekts :)
vielen dank für die info und das aufschlussreiche interview. aber müsste bei solchen texten nicht auch noch formal erwähnt werden, dass dies keine rechtsberatung darstellt, weil sich sonst jemand bemüßigt fühlen könnte, radau zu machen?
ich komme aus dem kopfschütteln nicht mehr raus. da will man einfach nur bloggen, die ausgaben decken und andere aufklären und braucht gleich rechtsbeistand und steuerberater
Natürlich stellt ein solches Interview keine Rechtsberatung dar, zumal es hier nicht um die Bewertung eines Einzelfalles geht. Es ist die die Meinung eines Sachverständigen, die nur Anhaltspunkte liefern kann, solange es keine klareren gesetzlichen Regeln oder rechtsgültige Urteile zu den Fragen gibt.
Hallo Vera,
mein Wissensstand – nur zu Google Analytics – ist folgender:
Seit Herbst letzten Jahres ist eindeutig durch den Datenschutz und die Länder festgestellt worden, dass die Nutzung von GA dem deutschen Datenschutz widerspricht, weil Nutzerdaten (IP etc) auf ausländischen Servern gespeichert werden (Google – USA) und es keine wirkungsvolle Datenschutzbelehrung für Nutzer der Seiten gibt, da sie beim Lesen der solchen ja bereits von GA erfasst werden und somit nicht mehr frei der Entscheidung sind, vgl.: http://bit.ly/59Hy25
Aus dem Grund wurde das GA-Modul auf unserer Webseite (Kindervereinigung e.V. Gera, gefördert über öffentliche Mittel durch den IJAB) zum Jahreswechsel vorsichtshalber von den Geldgebern gesperrt, leider.
Bei Zuwiderhandlung (und vorangegangener Prüfung) drohen empfindliche Strafen. Vermutlich wird es nur eine Frage der Zeit sein, bis Rechtsanwälte damit schnelles Geld verdienen werden.
Interessant ist aber, dass viele Politiker, Staatssekretäre und nicht zuletzt auch Familienministerin Schröder (kristinaschroeder.de) GA weiter verwenden, was unten im jeweiligen Seitenquelltext jederzeit nachprüfbar ist. Hmmm…
Liebe Grüße
klasse! vielen dank für den super artikel und die damit einhergehenden hinweise…
zum inhalt: stellenweise verständlich aber leider auch mal wieder der deutsche ordnungswahn am start… trotzdem toll, dass ich noch vor die tür darf ohne ein dreifach ausgefertigtes schreiben beim anwohnermeldeamt abzugeben, beglaubigen zu lassen, dass dann… (bei douglas adams dem sinn gemäß geklaut)
…und hier nochmal als Nachtrag die rechtlichen Darstellungen zu Google Analytics: http://bit.ly/5OiI5a
@Olli: Vorsicht vor Fehleinschätzung. Die Datenschützer haben bzgl. User-Tracking ein Beschluss gefasst, der den Einsatz von User-Tracking-Tools Grenzen setzt.
Aber weder sind Datenschützer Gesetzgeber noch sind sie gegenüber Behörden weisungsbefugt. Im Prinzip vertreten die da Ihre Meinung. Gerichte werden aber natürlich einer sinnvoll begründeten Meinung eines Datenschützers zustimmen. Aber auch nicht immer. Siehe die ganzen gerichtsurteile, wo viele Datenschützer in Bezug auf Meinungsportale IMHO völlig zu recht verloren haben. (z.B. “Mein Prof”).
Meine Datenschützer haben auch oft etwas unrealistische Meinungen. So gibt es auch welche, die der Meinung sind, jede Webseite an sich muss von einem Datenschützer freigegeben werden, sobald auf dieser Webseite Namen von Personen auftauchen. Und sei es der Name des Betreibers im Impressum. Was natürlich Unfug ist.
Das zweite Achtung: GA steht in aller Munde, aber man darf nicht übersehen, dass es nur beispielhaft genannt ist. Ebenso betroffen sind auch gängige Tools deutscher Firmen und Marketing-Agenturen.
Ein Abmahnanwalt wird daher in Bezug auf Datenschutz eine sehr wacklige Grundlage haben. (Was aber eigentlich für die meisten unseriösen Abmahungen gilt).