Mit Urteil vom 18.02.2014, Az.: 3-10 O 86/12 hat das Landgericht Frankfurt entschieden, dass der Einsatz der Software Piwik bei Fehlen eines jederzeit abrufbaren Hinweises auf die Möglichkeit des Widerspruchs zur Erhebung und Verwendung der Daten, insbesondere zu Beginn des Nutzungsvorgangs datenschutzrechtswidrig und damit wettbewerbsrechtlich unzulässig ist.
Der Inhalt im Überblick
Was war der Hintergrund?
Der Website-Betreiber nutzte die Software Piwik unter Einsatz des AnonymizeIP-Plugins, welches die letzten 2 Bytes der IP-Adresse (IPv4-Format) auf 0 setzte. Auf der Website befanden sich Informationen zur Verwendung personenbezogener Daten im Sinne der § 13 Abs. 1 TMG. Die Datenschutzhinweise bezogen sich wohl auch auf die Möglichkeit des Widerspruchs in Bezug auf die Verwendung der mittels Piwik generierten Nutzerdaten im Sinne des § 15 Abs. 3 S. 1 TMG für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien.
Allerdings hatte der Website-Betreiber die Informationen auf der Unterseite „Kontakt“, die von jeder Seite der Homepage verlinkt war, eingebunden und dadurch nach Auffassung des Gerichts nicht die erforderliche Form der Erreichbarkeit und damit jederzeitigen Abrufbarkeit für den Website-Nutzer gewählt. Das LG Frankfurt war der Auffassung, dass Nutzer unter „Kontakt“ Informationen zum Website-Betreiber, aber nicht zum Datenschutz erwarteten.
Das Gericht hat erkannt, dass eine konkrete Gestaltung der Unterrichtung mangels gesetzlicher Vorgaben im Ermessen des Website-Betreibers als Diensteanbieter liegt, aber u.a. klar und zuverlässig wahrnehmbar sein muss, z.B. durch Einbindung in den Nutzungsvorgang (evtl. stellte sich das Gericht hier ein Pop-up-Fenster vor) oder durch einen deutlich hervorgehobenen Hinweis mittels Hyperlink auf der Startseite.
Warum ist das Urteil interessant?
Das Urteil ist unter verschiedenen Gesichtspunkten interessant:
Einsatz von AnonymizeIP-Plugin führt zur Pseudonymisierung
Das Gericht geht – nach einigen Inkonsistenzen bezüglich der Frage, ob die IP-Adressen bei Einsatz des AnonymizeIP-Plugins nun als anonym oder pseuydonym anzusehen sind – letztlich von einer Pseudonymisierung aus und legt hierbei die „Hinweise und Empfehlungen des Unabhängigen Landeszentrums für Datenschutz (ULD) zur Analyse von Internet-Angeboten mit ‚Piwik‘“ zugrunde.
Zwar würden für die Erstellung der Nutzerprofile die mittels AnonymizeIP-Plugin veränderten IP-Adressen genutzt, zur Besuchererkennung jedoch intern die vollständigen IP-Adressen mit bestimmten weiteren Daten wie Browser, Betriebssystem, Auflösung kombiniert und zu einem Hashwert verrechnet. Aufgrund der – wenn auch mit erheblichen Aufwand verbundenen Rückrechnungsmöglichkeit – wären die Daten pseudonym und daher die besonderen Datenschutzvorschriften des TMG anwendbar.
Datenschutzverstoß als unlautere geschäftliche Handlung
Das Landgericht Frankfurt reiht sich in die Riege der Gerichte ein, die bestimmte Verstöße gegen das Datenschutzrecht zutreffend als wettbewerbsrechtlich abmahnbar erkennen, da es sich bei den betroffenen Vorschriften wie z.B. § 15 Abs. 3 TMG um eine Marktverhaltensregel im Sinne des § 4 Nr. 11 UWG handele, denn sie regele das Auftreten auf dem Markt und diene damit zumindest auch den Interessen Betroffener.
Was ändert sich jetzt für Website-Betreiber?
Unternehmen, die Piwik verwenden, sollten in jedem Fall das AnonymizeIP-Plugin einsetzen, da Piwik in der Default-Einstellung die vollständige IP-Adresse verarbeitet. Das ULD empfiehlt, die letzten beiden Bytes zu maskieren. Wie Piwik datenschutzkonform genutzt werden kann, haben wir hier zusammengefasst.
Wer bisher die erforderlichen Informationen zum Einsatz von Piwik einschließlich der Information zum Widerspruchsrecht noch unter den allgemeinen Unternehmensinformationen wie Impressum oder Kontakt führt, sollte schnellstmöglich eine Hervorhebung der Datenschutzhinweise entsprechend den Empfehlungen des LG Frankfurt vornehmen.
Hat das Urteil Einfluss auf andere Tools z.B. Google Analytics?
Das Urteil gilt selbstverständliche auch für sämtliche anderen Webanalysetools wie z.B. Google Analytics. Auch beim Einsatz dieser sind die Datenschutzhinweise einschließlich des Hinweises auf das Widerspruchsrecht deutlich zu kennzeichnen. Andernfalls drohen kostenträchtige Abmahnungen.
Bei aller Heiligkeit des Datenschutzes… aber sollte man nicht auch mal ein wenig die Kirche im Dorf lassen??? Muss man demnächst einen Vertrag mit allen Richtlinien schriftlich vorher abschliessen, um ne Internetseite besuchen zu können? 5 popups beim Seitenaufruf mit allen möglichen Datenschutz-, Haftungsausschluss- oder anderen „Schlagmichtot“ Policen? Ganz ehrlich? So kann man auch das Internet abschaffen, weil sich irgendwann niemand mehr traut, ne Seite zu veröffentlichen. Es sitzen dann irgendwo die Haie, die daraus ihren Profit schlagen, weil du einen glitzekleinen und vielleicht nicht mal beabsichtigten Fehler gemacht hast.
Merkel´sches Neuland eben. Und ja, ich bin beruflich Datenschützer, doch halte ich noch etwas von Abwägungen und Verhältnismäßigkeit.