Vom Experten gut beraten

Datenschutzhinweis

Das Oberlandesgericht (OLG) Hamburg hat mit Urteil vom 27. Juni 2013entschieden, dass es sich bei § 13 Absatz 1 Telemediengesetz (TMG) um eine Marktverhaltensregel im Sinne von § 4 Nummer 11 des Gesetzes gegen den unlauteren Wettbewerb (UWG) handelt (Aktenzeichen 3 U 26/12). In der Konsequenz können Verstöße gegen die Informationspflichten des § 13 Absatz 1 TMG von einem Mitbewerber abgemahnt werden.

Als Folge des Urteils ist zu erwarten, dass zukünftig vermehrt Abmahnungen wegen fehlender oder unzureichender Datenschutzhinweise versandt werden. Da § 13 Absatz 1 TMG die Informationspflichten jedoch eher rudimentär regelt, bleibt abzuwarten, wie genau der Inhalt eines Datenschutzhinweises im Streitfall von einem Gericht überprüft wird. Das OLG Hamburg hatte sich hiermit nicht auseinanderzusetzen, da die betreffende Webseite überhaupt keinen Datenschutzhinweis enthielt.

Inhalt der Informationspflichten

§ 13 TMG sieht vor, dass der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über eine Verarbeitung der Daten in Nicht-EU-Staaten in allgemein verständlicher Form zu unterrichten hat. Die Unterrichtung über den Ort der Datenverarbeitung ist entbehrlich, soweit die Datenverarbeitung innerhalb der EU erfolgt.

Der Webseitenbetreiber hat die Besucher seiner Webseite also darüber zu informieren, wenn personenbezogene Daten erhoben und verarbeitet werden. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Die Informationspflicht erfasst natürlich in erster Linie den Fall, dass der Besucher auf der Webseite ganz bewusst persönliche Daten eingibt, zum Beispiel indem er ein Kontakt- oder Bestellformular ausfüllt oder einen Newsletter bestellt.

Die Informationspflichten betreffen aber auch den Fall, dass von der Webseite automatisch (im Hintergrund) Daten des Besuchers erhoben werden, etwa beim Einsatz von Tracking-Tools wie Google Analytics oder beim Setzen von Cookies. Bei der Verwendung von Cookies ist das nur relevant, wenn nachträglich ein Personenbezug hergestellt werden kann, beispielsweise wenn sich der Nutzer mit seiner Email-Adresse auf der Seite angemeldet hat. Bei reinen Session-Cookies, die nach Ablauf der Sitzung automatisch gelöscht werden, ist ein Personenbezug hingegen nicht möglich.

Der Inhalt des Datenschutzhinweises muss für den Nutzer jederzeit abrufbar sein.

Üblich und ausreichend ist ein leicht auffindbarer Link am oberen oder unteren Rand der Webseite mit der Bezeichnung „Datenschutz“ oder ähnliches, auf dem dann der Hinweis hinterlegt ist. Der Inhalt des Datenschutzhinweises hängt von Art und Umfang der Datenerhebung ab und kann daher stark variieren. Je mehr Daten vom Nutzer erhoben werden, desto ausführlicher sollte der Hinweis ausgestaltet sein. Beim Einsatz von Cookies und Tracking Tools sollte auch darüber genau informiert werden. Nicht ausreichend ist jedenfalls der Satz, dass die Verarbeitung der Nutzerdaten im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgt.

Überdies sind im Hinblick auf den Einsatz von Cookies die Entwicklungen auf europäischer Ebene zu beachten.

Die europäische Datenschutzrichtlinie für elektronische Kommunikation (RL 2009/136/EG, „ePrivacy“ Richtlinie) schreibt die so genannte informierte Einwilligung vor. Danach ist einem Webseitenbetreiber die Speicherung von oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, nur gestattet, wenn der Nutzer auf der Grundlage von klaren und umfassenden Informationen über die Zwecke der Verarbeitung seine Einwilligung hierzu gegeben hat. Ausgenommen vom Einwilligungserfordernis ist der Einsatz solcher Cookies, die erforderlich sind, damit der gewünschte Dienst vom Nutzer in Anspruch genommen werden kann (zum Beispiel Warenkorb-Cookies im Webshop).

Deutschland hat sich (neben anderen Mitgliedstaaten) jedoch dazu entschlossen, die Richtlinie nicht in nationales Recht umzusetzen. Die Begründung dazu lautet, dass die derzeit geltende Fassung des TMG die Vorgaben der Richtlinie bereits ausreichend umsetze. Diese Auffassung hat die Bundesregierung auch in ihrer Stellungnahme vom November 2011 gegenüber der EU-Kommission vertreten.

Die Kommission hat sich zumindest informell der Auffassung der Bundesregierung angeschlossen.

Welche Folgen dies für die Praxis hat, bleibt unklar. Zum einen ist nicht eindeutig, wie die Erteilung der Einwilligung erfolgen muss, insbesondere ob schon in den Browsereinstellungen des Nutzers eine stillschweigende Einwilligung gesehen werden kann (so die Erwägungsgründe der Richtlinie). Zum anderen bleibt offen, ob jegliche Arten von Cookies dem Einwilligungserfordernis unterliegen. Hinzu kommt, dass die Richtlinie nicht nur personenbezogene Daten betrifft, sondern generell Informationen, die auf dem Endgerät des Nutzers gespeichert sind. Das TMG regelt nur den Umgang mit personenbezogenen Daten.

Wenn ein Webseitenbetreiber daher ganz sicher gehen will, müsste er eine Einwilligung des Nutzers zur Verwendung von Cookies einholen, nachdem er ihn (im Datenschutzhinweis) hinreichend über deren Einsatz informiert hat. Vereinzelt fragen Webseitenbetreiber bereits jetzt (zum Beispiel in einem Pop-up Fenster) ab, ob der Nutzer dem Einsatz von Cookies zustimmt. Das Risiko eines Webseitenbetreibers angemahnt zu werden, wenn er keine solche Einwilligung des Nutzers zum Einsatz von Cookies einholt, dürfte in Anbetracht der offenen Fragen zur aktuellen Rechtslage aber derzeit wohl noch gering sein. Jedoch sollten die Entwicklungen in diesem Bereich unbedingt verfolgt werden.