Zum Inhalt springen Zur Navigation springen
Verwendung von Google AdSense illegal?! Was tun?

Verwendung von Google AdSense illegal?! Was tun?

Niedersächsische Betreiber von Webseiten müssen dieser Tage erfahren, dass der Einsatz von Google AdSense und Trackingtools nicht ganz so einfach ist und Risiken sowie handfeste Konsequenzen mit sich bringen kann. Wie heise-online berichtet, erhielt ein Forenbetreiber seitens des niedersächsischen Datenschutzbeauftragten die Aufforderung, seine automatisierten Datenverarbeitungsverfahren der Aufsichtsbehörde entsprechend § 4d BDSG zu melden. Nachdem er selbiges getan hatte, erhielt er eine Auflistung seiner Verfehlungen mit der Maßgabe diese umgehend abzustellen.

Sachverhalt

Hintergrund war, dass sich ein Forenbenutzer über die datenschutzwidrige Handhabung bei der Behörde beschwert hatte.

  • Ein Problem bestand darin, dass sich der Webseitenbetreiber eines Webhosters bediente und die Aufsichtsbehörde nunmehr den Vertrag zur Auftragsdatenverarbeitung gem. § 11 BDSG anforderte, welchen es bis zu diesem Zeitpunkt wohl noch gar nicht gab.
  • Aber besonders stachen den Datenschützern die Verwendung von Google AdSense sowie des IVW-Zählpixels ins Auge.

Wo liegt das Problem bei Google AdSense oder Trackingtools?

Bei der Nutzung von AdSense wird seitens Google ein Cookie gesetzt und die IP-Adresse an Google übermittelt. Ähnlich arbeiten Webtrackingtools wie Google Analytics oder das IVW-Zählpixel, auch hier werden IP-Adressen der Nutzer übermittelt.

Nach teilweise vertretener Auffassung handelt es sich bei IP-Adressen um personenbezogene Daten im Sinne des Datenschutzrechts. Diese Ansicht entspricht insbesondere den Vorstellungen der datenschutzrechtlichen Aufsichtsbehörden und wurde jüngst auch nochmals durch den Berliner Datenschutzbeauftragten bestätigt.

Wann ist eine Verwendung personenbezogener Daten zulässig?

Eine Verwendung personenbezogener Daten bei Telemedien ist nur zulässig, wenn

  • eine auf Telemedien sich beziehende Rechtsvorschrift dies erlaubt oder
  • der Nutzer eingewilligt hat (§ 12 Absatz 1 TMG).

Weiterhin muss der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über

  • Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie
  • die Verarbeitung seiner Daten in Staaten außerhalb des Europäischen Wirtschaftsrates

in allgemein verständlicher Form unterrichten (§ 13 Absatz 1 TMG).

Sind dynamische IP-Adressen zwingend personenbezogene Daten?

Die rechtliche Auffassung, wonach dynamische IP-Adressen aus Sicht eines Nicht-Providers personenbezogene Daten darstellen, ist allerdings weder in der Literatur noch in der Rechtsprechung unumstritten. So hat beispielsweise jüngst das OLG Hamburg entschieden (Beschluss vom 3.11.2010 – 5 W 126/10), dass es sich nicht um personenbezogene Daten handele.

Freilich ist dem Urteil des OLG allerdings keine inhaltliche Auseinandersetzung mit Art. 2 lit. a der europäischen Datenschutzrichtlinie noch dessen Erwägungsgrund 26 zu entnehmen. Auch das BVerfG vertrat in weiser Voraussicht bereits in seinem Volkszählungsurteil aus dem Jahr 1984 die Auffassung, dass es unter den Bedingungen der automatischen Datenverarbeitung kein „belangloses“ Datum mehr gibt.

Warum gerade IP-Adressen an dieser Stelle eine Ausnahme bilden sollten, ist nicht ersichtlich und wird auch aus dem Urteil des OLG Hamburg nicht deutlich. Das gilt umso mehr, wenn man sich vergegenwärtigt welche Daten alles von Diensteanbietern wie Google gesammelt (Google Suche, Google Maps, Google Reader, Google Talk, Google Analytics, Google AdSense, Google Mail u.v.m.) und mit IP-Adressen zusammengeführt werden können. Mangels Löschfristen können so umfassende Bewegungs- und Nutzungsprofile der einzelnen Nutzer erstellt werden, welche auch noch Jahre oder Jahrzehnte zurückreichen.

Das Gerichte den Personenbezug von IP-Adressen unter Hinweis darauf ablehnen, dass eine Identifizierbarkeit des Nutzers durch den Nicht-Provider anhand der dynamischen IP-Adresse nur bei rechtswidriger Datenweitergabe des Providers möglich sei, klingt angesichts der etlichen Datenskandale der Vergangenheit eher wie Hohn. Denn dann müsste man wohl davon ausgehen, dass ausgerechnet Zugangsprovider und deren Mitarbeiter sich regelmäßig an Recht & Ordnung halten, was an dieser Stelle unter Verweis auf zahlreiche anderslautende Gerichtsurteile keiner ernsthaften Kommentierung bedarf. Insbesondere die technischen und organisatorischen Maßnahmen zum Datenschutz gem. § 9 BDSG sind nach eigenen anwaltlichen Beratungserfahrungen zum Teil nur spärlich umgesetzt.

Womit muss ich beim Einsatz von Google AdSense rechnen, was soll ich tun?

Die meisten Webseitenbetreiber haben keine Ahnung welche datenschutzrechtlichen Problematiken sich bei Einsatz von Google AdSense oder Trackingtools ergeben. Google selbst ist wiederum so marktmächtig, dass es selbst ein Produkt anbieten kann, welches bei bestimmungsgemäßen Einsatz Gesetze verletzt.

Da die Tools von Google jedoch nur hergestellt werden und der Webseitenbetreiber als verantwortliche Stelle das jeweilige Tool tatsächlich einsetzt, ist der Webseitenbetreiber für diesen Einsatz rechtlich verantwortlich. Google kann an dieser Stelle alle Verantwortung auf den Webseitenbetreiber schieben. Mittlerweile hat Google zwischenzeitlich zum Teil reagiert und bietet zumindest für sein Trackingtool Google Analytics datenschutzkonformes IP-Masking an, Google AdSense sieht diese Möglichkeit allerdings bisher nicht vor.

Der Einsatz von Tools, welche nicht datenschutzkonform arbeiten, kann zumindest die Verhängung von Bußgeldern nach sich ziehen und sollte daher gut durchdacht sein. Es ist allerdings angesichts der Umstrittenheit des Themas nicht zwingend davon auszugehen, dass Aufsichtsbehörden derzeit ein Interesse daran haben, die Einhaltung des Datenschutzes im Hinblick auf AdSense oder Trackingtools gerichtlich durchzusetzen. Dies liegt daran, dass das Ergebnis eines Verfahrens völlig offen wäre und die Aufsichtsbehörden das Risiko einer ablehnenden Gerichtsentscheidung eingehen würden, was derzeit dem Datenschutz wenig dienlich wäre.

In Zweifelsfällen:

Jemand der Ihnen mit Sicherheit Hilfestellung bei der datenschutzrechtlichen Beurteilung von Vorgängen in Ihrem Unternehmen geben kann, ist Ihr betrieblicher Datenschutzbeauftragter, dies ist schließlich seine orginäre Aufgabe im Betrieb.

Apropos: Hat Ihr Unternehmen eigentlich einen Datenschutzbeauftragten? Ärgerlich wenn nicht, denn dann müssen Sie aufgrund der Bestellungspflicht u.U. ein weiteres Bußgeld zahlen und haben auch niemanden den Sie fragen können, womit ein weiteres Bußgeld die Folge sein könnte.

Allerdings ist es auf der anderen Seite natürlich immer löblich an der Sanierung öffentlicher Haushalte mitzuwirken bei Bußgeldern erhalten Sie jedoch keine steuerrelevante Quittung, denn Bußgelder sind nicht von der Steuer abziehbar (§ 4 Absatz 5 Nr. 8 EStG i.V.m. § 8 Absatz 1 KStG). Ein Hoch auf die Uneigennützigkeit!

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.