Tracker, Scripte, Analytics: Blogger haften für „eingeschleuste“ Funktionen


Eher durch Zufall habe ich kürzlich entdeckt, dass in meinem Blog Google Analytics lief, das ja bekanntlich sehr umstritten ist. Jedoch hatte ich es weder selbst installiert, noch weist mein Impressum einen entsprechenden Vermerk auf. Es stellte sich heraus, dass ein Plugin es ohne mein Wissen eingeschleust hatte. Ich habe das beseitigt. Aber so etwas kann ja immer wieder passieren, selbst bei größter Sorgfalt und auch mit anderen Anwendungen. Bin ich eigentlich als Blogbetreiber dafür verantwortlich, selbst wenn ich es nicht wusste und auch nachweislich nicht so einfach feststellen konnte? Was könnten die Folgen sein? Und: Würde es helfen, wenn ich vorsorglich Vermerke etwa zu Google Analytics ins Impressum nehme? Was muss ich sonst beachten? – Das habe ich den Rechtsanwalt und Blogautor Thomas Schwenke gefragt. (Kerstin Hoffmann)


Gastbeitrag von Rechtsanwalt Thomas Schwenke

Blogbetreiber sind als sogenannte „Diensteanbieter“ nach dem Telemediengesetz für ihr Blog und die darin eingesetzten Services und Plugins von Drittanbietern (z.B. von Google, Facebook oder WordPress) verantwortlich. Das bedeutet,  sie müssen dafür sorgen, dass ihr Blog den Anforderungen das Datenschutzes entspricht und können sich nicht auf Unwissenheit oder die Verantwortung der Drittanbieter berufen. Das gilt sowohl für private wie für geschäftliche Blogs.

Die Folgen der Datenschutzverstöße können Bußgelder oder Abmahnungen von Konkurrenten sowie von Privatpersonen sein. Bußgelder sind bisher eine große Ausnahme, Abmahnungen von Privatpersonen haben die höchste Erfolgsquote, sind aber sehr selten. Die Konkurrentenabmahnungen sind bisher auch eher der Ausnahmefall gewesen, da das Datenschutzrecht grundsätzlich Individuen und nicht den Wirtschaftsverkehr schützen soll.

Doch diese Lage ändert sich. So drohte der Hamburger Datenschutzbeauftragte unlängst auch gegen einzelne Anbieter vorgehen zu wollen. Das ist im gewissen Umfang nachvollziehbar,  weil die Serviceanbeiter (z.B. Google oder Facebook) oft in den USA sitzen und schwer zu belangen sind. Sie reagieren oft erst dann, wenn sich die Nutzer ihrer Services wegen Bußgeldrisiken abwenden. Auch die Abmahnungen unter Konkurrenten sind schon aufgetaucht. Und letztendlich wäre es jedem Konkurrenten möglich Mitbewerber nicht über das eigene Unternehmen, sondern auch als Privatperson abzumahnen.

Zusammengefasst sehe ich zwar noch keine Abmahnungswelle auf uns zurollen, aber die ersten Anzeichen, dass eine kommen könnte. Daher sollte jeder sein Blog datenschutzrechtlich absichern und das insbesondere, wenn es geschäftlich genutzt wird.

Datenschutz, eine unmögliche Aufgabe?

Für die Praxis bedeutet dies, dass jeder Blogbetreiber sein Blog und die Plugins darauf überprüfen muss, ob sie den gesetzlichen Anforderungen entsprechen. Das ist einfach gesagt, aber schwer umzusetzen. Denn von allen gesetzlichen Regelungen, die einen Blogger betreffen, sind die Datenschutzregeln wohl am schwierigsten zu verstehen. Dazu kommt noch, dass viele Experten sich über einzelne Fragen streiten. Zum Beispiel, ob die hohen Datenschutzanforderungen auch auf die IP-Adresse anwendbar sind (Tendenz: ja).

Schon der erste Blick auf die datenschutzrechtlichen Regeln zeugt von deren Komplexität:

  1. Personenbezogene Daten dürfen grundsätzlich nur mit Einwilligung der Betroffenen gespeichert und genutzt werden. Ausnahmsweise ist dies zulässig, wenn dies für den Betrieb des Blogs erforderlich ist. Die Betroffenen sind darüber in einer Datenschutzerklärung aufzuklären.
  2. Personenbezogene Daten für statistische und Marktforschungszwecke dürfen ohne Einwilligung pseudonymisiert gespeichert werden, wenn die Besucher dem widersprechen können und darüber in einer Datenschutzerklärung belehrt werden.
  3. Werden personenbezogene Daten ins EU-Ausland verbracht, bedarf es der  Einwilligung der Betroffenen, es sei denn man kann nachweisen, dass bei deren Verarbeitung europäische Datenschutzstandards eingehalten werden.

Wenn ich jetzt noch sage, dass diese Zusammenfassung vereinfacht ist, wird wohl jeder Blogger die Hände über dem Kopf zusammenschlagen. Das kann ich sehr gut nachvollziehen und gebe unumwunden zu, dass ich ohne Jurastudium selber Probleme hätte das umzusetzen.

Ratschläge für die Praxis

Angesichts dieser Anforderungen wäre es praktischer und einfacher, wenn die Drittanbieter auf den Datenschutz achten würden. Doch sitzen die großen Anbieter meistens im Ausland, schließen jegliche Haftung aus und brauchen selbst keine Nachteile zu fürchten. Erst wenn die Nutzer belangt werden, werden sie aktiv. Oder es handelt sich um private oder kleine Plugin-Entwickler, die selbst nicht die Kapazitäten für eine datenschutzrechtliche Prüfung haben.

Es hilft leider auch wenig eine pauschale Datenschutzerklärung zu erstellen, die alle möglichen Datennutzungen abfängt. Denn eine Datenschutzerklärung muss deutlich und konkret über die Datenerhebung sowie Nutzung aufklären. Ansonsten ist sie unwirksam. Das ist sie auch, wenn sie falsch ist. Wer beispielsweise die Mustererklärung für Google-Analytics nutzt, in der vom Speichern gekürzter IP-Adressen die Rede ist, das Plugin aber ungekürzte Adressen speichert, ist die Erklärung ohne Wirkung.

In einer solchen Situation ist das oberste Gebot sich zu informieren. Wer ein Plugin oder einen anderen Dienst einsetzt, sollte eine Suchmaschine bemühen und neben dem Pluginnamen die Begriffe „Datenschutz“ und „Probleme“ für den deutschen Raum sowie „privacy“ und „issues“ für den englischsprachigen eingeben.

So können zum Beispiel unsere Anleitungen für Google-Analytics, den Like-Button oder das „Wordpress.com-Stats“-Plugin gefunden werden.

Unbefriedigende Lage

Ich kann mir vorstellen, dass diese Vorschläge immer noch unbefriedigend sind. Denn es gibt eine Vielzahl von Plugins, für die keine Anleitungen existieren. Hier bleibt es leider beim persönlichen Risiko und allenfalls Hinweisen an die Anbieter. Wenn sie daran interessiert sind, dass ihr Plugin genutzt wird, werden sie sich bemühen auch dem Datenschutz zu genügen. So hat sich auf meine Kritik an dem beliebten „Wordpress.com-Stats“-Plugin der CEO von Automattic, der Firma hinter WordPress, gemeldet und Nachbesserungen versprochen.

Fazit & Appell

Blogbetreiber haften unabhängig von ihrer Kenntnis für eigene Datenschutzverstöße und die der eingesetzten Software. Das Risiko von Bußgeldern oder Abmahnungen ist derzeit noch gering, nimmt jedoch stetig zu. Daher sollte sich jeder Blogger informieren, ob die eingesetzte Software nicht bereits wegen Datenschutzverstößen aufgefallen ist oder es Anleitungen gibt, wie man sie datenschutzgerecht einsetzt.

Mein Appell an Plugin-Anbieter ist zu ihren Plugins nicht nur „FAQ, Install instructions & Screenshots“ anzubieten, sondern auch passende Datenschutzhinweise und einen Mustertext für die Datenschutzerklärung. Das klingt derzeit utopisch, aber ich rechne damit fest in der Zukunft.

Da auch ich mir weiterhin eine rege Blogszene und viele neue Plugin-Entwicklungen wünsche, möchte ich dazu beitragen. Daher werde ich in den kommenden Beiträgen unseres Spreerecht.de-Blogs den Schwerpunkt auf Blogs & Datenschutzrecht legen. Für Anregungen bin ich sehr dankbar.

Rechtsanwalt Thomas Schwenke, Dipl.FinWIrt(FH), LL.M. (Auckland) ist Partner der Kanzlei Schwenke & Dramburg in Berlin und berät Unternehmen in Rechtsfragen beim Marketing, Social Media, Community Management, Appdevelopment und Mobile Commerce sowie hält Workshops und Vorträge zu diesen Themen. Vor seiner Niederlassung als Rechtsanwalt leitete er eine Agentur für Onlinemarketing und Webdesign.
Kanzleiseite & Blog: spreerecht.de
Twitter: https://twitter.com/thsch
Xing: https://www.xing.com/profile/Thomas_Schwenke2
Facebook: http://www.facebook.com/schwenke.dramburg

Anmerkung von Kerstin Hoffmann: Bitte haben Sie Verständnis dafür, dass ich nicht auf juristische Rückfragen antworten kann. Ich übernehme keine Verantwortung für die sachliche Richtigkeit der Aussagen und auch nicht dafür, ob und wie Sie sie ggf. selbst anwenden.

  9 comments for “Tracker, Scripte, Analytics: Blogger haften für „eingeschleuste“ Funktionen

  1. Frank
    22. Februar 2011 at 20:48

    Ich finde es falsch, sich einem abstrusen und katastrophalen Gesetz anzupassen. Der richtige Weg wäre, das Gesetz der Realität, dem Menschen anzupassen.

    Wie abstrus es ist, sieht man bei dem Artikel und dieser Seite:
    Was nützt es, einen Artikel mit Ratschlägen zu schreiben, wenn keiner weiß, wie dem Gesetz Folge zu leisten?

    Ich musste hier gleich mehrere fremde Seiten blockieren und leider weiß Facebook jetzt auch, dass ich hier war (wegen dem Facebook Button).
    Die Seiten tweetmeme.com, facebook.com, wordpress.com und fbcdn.net versuchen auf meinen Browser zu kommen, in der Datenschutzerklärung werde ich aber erst nachträglich (!) darüber informiert, wenn es zu spät ist. Facebook hat meine Daten bis dahin schon.

    Das Impressum mit der Datenschutzerklärung ist auch nicht das Gelbe vom Ei, da hätte ich schon mehr erwartet, wenn nun schon ein Fachanwalt Tipps hierzu gibt: Zum einen werde ich auf eine andere Seite weitergeleitet und zum anderen finde ich dort das w3c-Logo vor, das direkt von der w3c-Seite geliefert wird. Damit ist auch seitens des w3c ein Tracking möglich.
    Von den anderen Seiten wie tweetmeme, wordpress und fbcdn wird mir ebenfalls nichts erklärt.

    Kurzum, die Datenschutzerklärung hier im Impressum ist „ohne Wirkung“, nach Aussage des Artikels oben.
    Wäre ich ein böser Mensch, dürfte ich jetzt schon anschwärzen oder abmahnen.

    Und warum ich bei jedem Kommentar unnötigerweise meine Email-Adresse eingeben muss, hat mir auch noch niemand erklärt. Was hat das mit der Datensparsamkeit zu tun?

    Vielleicht fällt manchem Leser hier auf, wie schlimm das Gesetz ist. Das kriegen wir gar nicht in den Griff.
    Darum muss das Gesetz weg!

  2. 22. Februar 2011 at 21:45

    Vielen Dank für den Artikel, der wieder ein wenig mehr Licht in dieses komplexe Thema gebracht hat. Im Bereich Datenschutzrecht und Blogs (oder allgemeiner Internetauftritte) gibt es wirklich wenige Konstanten: Der Gesetzgeber ist ambivalent, Fachleute sind sich uneins, Datenschutzbeauftragte neigen zum Tunnelblick und die Randbedingungen ändern sich stetig. Der Blogbetreiber kann sich eigentlich nur durch regelmässiges Informieren in Risikominimierung üben. Für den Blogbesucher, der seine personenbeziehbaren Daten geschützt sehen will, ist das Ganze wenig pragmatisch, besonders wenn diese bereits erhoben sind, bevor er sich zur Datenschutzerklärung durchgeklickt hat.

  3. 23. Februar 2011 at 17:44

    Der Appel ist gut, wird nur leider mit Sicherheit nicht jenseits des großen Teiches vernommen werden. Schließlich kommt eine Vielzahl der Plugins aus Übersee.

  4. 23. Februar 2011 at 19:31

    @Frank: Wenn es nach dem Gesetz geht, ist (fast) jede Datenschutzerklärung in Deutschland unzulässig. Letztendlich müsste man bei jedem Bild, das man über eine URL in die Seite die Nutzer darüber aufklären und prüfen, ob der Server in den USA steht, etc. Denn die Quelle bekommt ja die IP-Adresse des Besuchers als Zugriffsdatum und könnte sie speichern und verarbeiten. Hier driften die Praxis und der Wunsch des Gesetzgebers stark auseinander. Natürlich muss man nicht alles zulassen, was technisch geht, aber das Gesetz sollte mit der Praxis gehen und sie nicht behindern. Ich meine auch, dass man den Internetnutzern mehr Selbstbestimmung zumuten sollte. Es verlangt ja auch keiner, dass jede Treppe 2 Geländer hat, Stufen aus Gummi, ein Auffangnetz und den Hinweis, dass man sich bei deren Besteigung verletzen kann.

    @Gilly: Tja, irgendwo und irgendwann muss man anfangen. Ich denke der Wandel kommt mit der Zeit. Der Datenschutz ist ja nicht unbedingt etwas, was man in die Wiege gelegt bekommt. Und wie ich es mitbekomme, nimmt das Datenschutzbewusstsein auch in den USA zu.

  5. Frank
    25. Februar 2011 at 22:56

    @Thomas
    Wie grotesk das mit dem überdrehten Datenschutz ist, zeigt sich schon am Gravatar, denn dieses Bild übermittelt ebenfalls die IP an eine Seite in die USA.

  6. 26. Februar 2011 at 13:09

    Richtig, dazu empfehle ich auch den Artikel „Tracking: Welche Regelungen wären sinnvoll?“ bei Telemedicus http://www.telemedicus.info/article/1951-Tracking-Welche-Regelungen-waeren-sinnvoll.html Darin macht sich Adrian Schneider ebenfalls kluge Gedanken über die Zukunft von diesen Regeln, die noch im web 1.0 stecken.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *