Gastbeitrag 1 (von 5) von Dr. Martin Schirmbacher, HÄRTING Rechtsanwälte PartGmbB
Durch Tracking Maßnahmen, bspw. den Einsatz und die Auswertung von Cookies und IP-Daten, können Websitebetreiber Nutzerprofile erstellen, die es ermöglichen ihre Angebote zu verbessern und personalisierte Werbung an ihre Nutzer auszuliefern. Dabei wartet das Tracking von Nutzern mit einer Vielzahl von kleinen und großen Rechtsfragen auf. In einem ersten Schritt ist es wichtig festzustellen, ob die gespeicherten Daten Personenbezug aufweisen oder nicht, da hieran der Umgang mit den Daten festgelegt werden muss.
Personenbezogene Daten
Das Gesetz definiert personenbezogene Daten als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Der EuGH hat entschieden, dass selbst dynamische IP-Adressen, die immer wieder neu vergeben werden, unter Umständen auch für den Website-Betreiber Personenbezug haben können, weil nicht auszuschließen ist, dass auf die Person hinter der IP-Adresse geschlossen werden kann. Für viele Website-Betreiber wird die IP-Adresse des Nutzers schon deshalb Personenbezug haben, weil jedenfalls die Möglichkeit besteht, die IP-Daten über einen Login mit Klardaten einer Person zu verbinden. Außerdem werden statische IP-Adressen überwiegend als personenbezogene Daten eingeordnet, weil sich nicht ausschließen lässt, dass sie natürlichen Personen zuzuordnen sind. Insofern empfiehlt es sich, beim Tracking vom Personenbezug von IP-Adressen auszugehen.
Der Begriff des Personenbezugs nach der neuen Datenschutzgrundverordnung der Europäischen Union wird deutlich weiter verstanden. Insbesondere soll jede „Online-Kennung“ dazu gehören. Es ist damit zu rechnen, dass auch IP-Adressen unter den weiten Personenbezugsbegriff fallen werden.
Einwilligung erforderlich
Hält man IP-Adressen für personenbezogen, dürfen diese nur erhoben und verwendet werden, wenn dafür eine Rechtfertigung in Form einer besteht. Eine Rechtfertigungsmöglichkeit ist eine Einwilligung. Das Gesetz gestattet die Speicherung zu Werbezwecken nicht ohne Weiteres. So können IP-Adressen zu Trackingzwecken lediglich gekürzt speichern, um vom Nutzer keine Einwilligung fordern zu müssen.
Wichtig ist, dass Sie sich jeweils im Vorhinein überlegen, was Sie mit den erhobenen Daten später anstellen wollen. Besonders für Big-Data-Projekte ist das ein Problem. Jede relevante Zweckänderung verlangt prinzipiell eine neue Rechtfertigung.
Die für Cookies bestehenden Sonderregeln knüpfen dagegen nicht an das Vorhandensein von Personenbezug an. Cookies sind unabhängig davon reguliert, ob überhaupt personenbezogene Daten erhoben werden.
Beschluss des Düsseldorfer Kreises
Der sogenannte Düsseldorfer Kreis, der ein informeller Zusammenschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich in Deutschland ist, hat bereits im Jahre 2009 darauf hingewiesen, dass die Anforderungen des Telemediengesetzes (TMG) bei der Webanalyse zu beachten sind. Die IP-Adresse wird dabei als personenbezogenes Datum angesehen.
Kurz zusammengefasst bedeuten die Beschlüsse, dass die Erhebung der IP-Adresse zu anderen als Abrechnungszwecken ohne Einwilligung nicht gestattet ist. Der Beschluss hat zwar lediglich deklaratorischen Charakter. Er gibt die Meinung der Datenschützer wieder, die im Einzelfall gerichtlich überprüfbar ist. Wird tatsächlich wegen des Trackings von Websites ein datenschutzrechtliches Verfahren gegen den Betreiber der Seite eingeleitet, können Verwaltungsgerichte die Bescheide des Datenschutzbeauftragten überprüfen.
Piwik und andere Tracking-Tools
Für andere Tracking-Tools gelten natürlich grundsätzlich die gleichen rechtlichen Rahmenbedingungen. Beim Tracking von Besucherbewegungen auf der Website müssen Sie aus datenschutzrechtlicher Sicht eine Vielzahl von Rahmenbedingungen einhalten. Ob man Tracking-Tools, die die IP-Adressen der Website-Nutzer speichern, überhaupt rechtlich zulässig nutzen kann, hängt davon ab, ob man die IP-Adresse für ein personenbezogenes Datum des Nutzers hält.
Beispiel: Datenschutzhinweis beim Einsatz von Piwik
In einem offensichtlich erbittert geführten Streit unter Softwareherstellern spielte auch der Tracking-Dienst Piwik eine Rolle. Einer der Kontrahenten setzte den Dienst auf seiner Website ein. Dabei wurden lediglich pseudonyme Daten erhoben. Eine Zuordnung zu konkreten Personen war nicht möglich. Das Gericht LG Frankfurt entschied am 18.2.2014, Az. 3 10 O 86/12, dass eine Hinweispflicht auch für die Erhebung solcher pseudonymer Daten greife. Dem Website-Betreiber wurde daher die Nutzung von Piwik verboten, solange er Nutzer nicht umfassend über die Datenerhebung und die Widerspruchsmöglichkeit aufkläre.
Das neue Buch Online-Marketing- und Social-Media-Recht von Dr. Martin Schirmbacher von unserem Preferred Business Partner HÄRTING Rechtsanwälte ist vor kurzem in 2. Auflage erschienen. Im Buch geht es um rechtliche Belange für Online-Shops und alle gängigen Online-Marketing-Methoden. Das Buch enthält viele Checklisten und Mustertexte im Anhang. Alle angesprochenen Urteile sind im Anhang noch einmal kurz zusammengefasst.