print logo

Nutzungsdaten – welche Analysen sind datenschutzkonform?

Das Online-Marketing ist ohne die Analyse des Nutzerverhaltens nicht mehr denkbar. Aber ist alles, was geht, auch datenschutzkonform?
Jens Eckhardt | 30.11.2011
Dieser Fachartikel erschien im Leitfaden Online-Marketing Band 2:
http://TopOnlineExperten.de



Das Online-Marketing ist ohne die Analyse des Nutzerverhaltens nicht mehr denkbar. Die „Online-Beziehung“ eröffnet technisch immer neue Möglichkeiten. Beispielsweise ist es technisch möglich, die Daten über die Nutzung von Internetseiten oder von Newslettern auszuwerten. Die Erkenntnisse können für eine Optimierung der Werbung und der angebotenen Produkte eingesetzt werden. Aber ist alles, was geht, auch datenschutzkonform?

In jüngerer Vergangenheit hat die Frage, ob das mögliche Auswerten von Informationen dem Datenschutzrecht entspricht, an Bedeutung gewonnen. Durch verschiedene Skandale wurde die Aufmerksamkeit der Öffentlichkeit auf das Thema Datenschutz gelenkt. Hierdurch ist die Einhaltung des Datenschutzrechts auch keine rein theoretische Frage mehr sondern ein für die Reputation eines Unternehmens entscheidender Faktor.

In der Praxis stellt sich daher immer häufiger die Rechtsfrage: Welche Analysen sind datenschutzkonform?


Vorwort

Eine Einschätzung dieser Frage ist nur möglich, wenn man sich zunächst mit den Grundzügen des Datenschutzrechts vertraut macht. Denn nur dann lassen sich die aktuellen Bewertungen von Analyse-Tools verstehen und darüber hinaus „ein Gespür“ für die Einordnung zukünftiger neuer Analysen entwickeln.

In Bezug auf das Online-Marketing können in Deutschland grundsätzlich drei verschiedene Gesetze zur Anwendung kommen:

• das Telekommunikationsgesetz (TKG),
• das Telemediengesetz (TMG) und
• das Bundesdatenschutzgesetz (BDSG).

Das Verständnis des deutschen Datenschutzrechts wird dadurch alles andere als erleichtert. Die Abgrenzung ist gesetzlich nicht so eindeutig geregelt, dass sie in der Praxis tatsächlich einfach umsetzbar wäre. Für die Frage der Verwendung von Nutzungsdaten im Online-Marketing – zum Beispiel für Analysen wie bei Google Analytics oder das Lesen von Werbe-E-Mails – kommt typischerweise das TMG zur Anwendung. In den Vordergrund der vorliegenden Darstellung wird daher das TMG gestellt.


Datenschutzrecht – Wann ist es zu beachten?

Das Datenschutzrecht ist zu beachten, sofern und soweit personenbezogene Daten erhoben oder verwendet werden. Hierunter fallen alle Informationen über eine bestimmte oder bestimmbare natürliche Person. Entscheidend ist die Zuordnung zu einem Namen.

Die Informationen allein über ein Unternehmen fallen nicht unter das Datenschutzrecht. Das Datenschutzrecht ist beim Umgang mit diesen Daten allerdings zu beachten, wenn zu einem Unternehmen auch eine Ansprechperson erfasst wird. Denn die Informationen in dem Datensatz können dieser Person zugeordnet werden.

E-Mail-Adressen
Sobald einer E-Mail-Adresse der Name eines Menschen zugeordnet werden kann, ist ein personenbezogenes Datum gegeben. Bei jeder E-Mail-Adresse, die aus einem Namen einer natürlichen Person gebildet ist, wie zum Beispiel jenseckhardt@beispielsfirma.de oder info@jenseckhardt.de, ist diese allein schon deshalb ein personenbezogenes Datum.

Wenn einer sonstigen E-Mail-Adresse ein Name zugeordnet werden kann, ist dies ebenfalls der Fall. Dies gilt insbesondere, wenn eine anonyme Firmen-EMail-Adresse, wie einkauf@beispielsfirma.de, der zuständigen Person namentlich zugeordnet werden kann. Diese Zuordnung kann auf der Erhebung weiterer oder auf die Verwendung bereits vorhandener Daten beruhen. Wird also das Nutzungsverhalten der Empfänger von Werbe-E-Mails oder Newsletter analysiert, liegt es nahe, dass das Datenschutzrecht zur Anwendung kommt. Das kann beispielsweise für das Öffnen des Newsletters und das Klicken in dem Newsletter gelten.

IP-Adressen
Während die zuvor angesprochenen E-Mail-Adressen noch recht leicht zu bewerten sind, ist die Einordnung dynamischer IP-Adressen aktuell heftig umstritten. Eine Ansicht bewertet die dynamische IP-Adresse generell als personenbezogenes Datum. Die wohl (noch) herrschende Meinung hingegen stuft die IP-Adresse nur dann als personenbezogenes Datum ein, wenn die verarbeitende Stelle die IP-Adresse tatsächlich einem Menschen zuordnen kann [1]. Die verarbeitende Stelle kann beispielsweise der Betreiber einer Internetpräsenz mit Analyse-Tool sein. Sogenannte statische IP-Adressen werden recht einheitlich stets als personenbezogenes Datum bewertet.

Gerade die Bewertung der IP-Adresse wird im Kontext von Analyse-Tools (zum Beispiel Google Analytics) heftig diskutiert. In der Praxis kommt es letztlich für die Bewertung von Analyse-Tools oder -Verfahren auf diese Unterscheidung nicht entscheidend an. Denn es lässt sich typischerweise nicht zwischen personenbezogenen und nicht personenbezogenen E-Mail-Adressen sowie nicht zwischen dynamischen und statischen IP-Adressen unterscheiden. Für die Bewertung eines Analyse-Tools oder -Verfahrens muss daher auf das „schwächste Glied“ – also die personenbezogene Information – abgestellt werden. Praktisch kann daher nur einheitlich das Datenschutzrecht beachtet werden.

Cookies
Soweit sogenannte Cookies Bestandteile wie Benutzernamen oder statische IP-Adressen enthalten oder sonst einen Menschen identifizieren, ist von der Personenbezogenheit auszugehen. Bei der Erfassung von dynamischen IP-Adressen mittels Cookies ist wie zuvor dargestellt zu unterscheiden. Wird hingegen lediglich die Information über die verwendete Sprache erfasst, liegt jedenfalls nicht per se eine Personenbezogenheit vor.

Sonderfall: Selbstidentifikation des Nutzers
Die Besonderheit bei Cookies und IP-Adressen ist, dass es zu einer Selbstidentifikation des Nutzers kommen und dadurch das Cookie zu einem personenbezogenen Datum werden kann. Zu einer solchen Selbstidentifikation kann es kommen, wenn unter Nutzung des Cookies eine Bestellung, eine namentliche Anmeldung oder auch der Versand einer E-Mail erfolgt [2].

Anonymisieren als Ausschluss des Datenschutzrechts
Das Anonymisieren führt grundsätzlich zur Nichtanwendung des Datenschutzrechts. Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können [3]. Das bedeutet, dass bei der Analyse von Nutzungsverhalten stets darüber nachgedacht werden sollte, ob eine anonymisierte Verwendung möglich ist.


Grundsätze des Datenschutzrechts

Für die Frage, ob die Verwendung von Nutzungsdaten datenschutzkonform ist, sind – vereinfacht gesagt – vier Grundsätze des Datenschutzrechts entscheidend. Mit diesem „Baukasten“ lassen sich im Groben alle Datenschutzfragen einordnen.

Verbot mit Erlaubnisvorbehalt
Der entscheidende Grundsatz des Datenschutzrechts lässt sich so umschreiben: Alles ist verboten, es sei denn, es ist konkret erlaubt. Der Fachbegriff hierfür lautet: Verbot mit Erlaubnisvorbehalt. Jede Erhebung oder Verwendung von personenbezogenen Daten – bildlich gesprochen: jeder „Verarbeitungsschritt“ – muss für sich zulässig sein.

Für die Verwendung personenbezogener Daten bedarf es daher entweder einer Erlaubnis im Gesetz oder der Einwilligung des Betroffenen. Bei der Verwendung personenbezogener Daten muss daher der Umgang mit den Nutzerdaten aus datenschutzrechtlicher Sicht in seine einzelnen Schritte zerlegt werden. Danach muss grundsätzlich jeder Schritt auf seine Abdeckung durch eine Erlaubnis – durch Gesetz oder durch Einwilligung – überprüft werden. Wenn zum Beispiel die Verwendung der E-Mail-Adresse für die Zusendung von Werbung zulässig ist, ist nicht automatisch auch die Auswertung der Reaktion auf die E-Mail (zum Beispiel Analyse des Klickverhaltens in der E-Mail) zulässig.

Zweckbindung
Der datenschutzrechtliche Grundsatz der Zweckbindung bedeutet, dass die Verwendung von personenbezogenen Daten nur für den Zweck zulässig ist, zu dem sie rechtmäßig erhoben worden sind. Sollen die Daten für einen anderen Zweck verwendet werden, greift wieder das Verbot mit Erlaubnisvorbehalt. Das bedeutet zum Beispiel, dass eine IP-Adresse eines Internetnutzers, die technisch bedingt beim „Ansurfen“ einer Internetseite erfasst werden muss, zwar zum Ermöglichen des „Ansurfens“ verwendet werden darf. Die Zulässigkeit der Analyse des Nutzungsverhaltens anhand dieser IP-Adresse erfordert jedoch zusätzlich auf diesen Zweck bezogen entweder eine Einwilligung oder eine gesetzliche Zulässigkeit.

Transparenz
Ein weiterer wesentlicher Grundsatz des Datenschutzrechts ist Transparenz. Um Transparenz für den Betroffenen zu schaffen, sieht das Datenschutzrecht allgemeine Hinweispflichten vor [4]. Der Betroffene soll informiert werden, dass und wie Informationen über ihn erhoben und verwendet werden. Die Information soll ihn – so die Vorstellung des Gesetzgebers – in die Lage versetzen, sein Verhalten entsprechend dieser Information auszurichten.

Der Betroffene muss daher konkret über Zweck, Art und Umfang der Erhebung und Verwendung seiner Daten sowie darüber, wer diese Daten erhebt und an wen diese Daten übertragen werden, unterricht werden. Dies gilt grundsätzlich auch dann, wenn die Verwendung der Daten kraft Gesetzes – also ohne Einwilligung – zulässig ist. Konkret zu unterrichten bedeutet, dem Nutzer mit den an ihn gerichteten Informationen verständlich zu machen, zu welchem Zweck er seine Daten mitteilt und was mit diesen Daten geschieht. Unzureichend, weil nichts sagend, ist beispielsweise: „Wir verwenden Ihre Daten nur entsprechend dem geltenden Datenschutzrecht.“

Nach dem TMG muss der Inhalt dieser Unterrichtung für den Nutzer jederzeit abrufbar sein [5]. Abrufbarkeit bedeutet, dass das werbende Unternehmen die konkrete Unterrichtung zu jedem beliebigen Zeitpunkt zum Lesen bereithalten muss.

Die Unterrichtung muss nach dem TMG zu Beginn des Nutzungsvorgangs erfolgen [6]. Eine solche Gestaltungsmöglichkeit besteht beispielsweise darin, die Unterrichtung in einer Datenschutzerklärung – manchmal auch als „Privacy Policy“ bezeichnet – auf der Internetseite bereitzuhalten [7]. Der Hinweis sollte – gegebenenfalls durch einen entsprechend bezeichneten Link – auf der Startseite stehen.

Datensparsamkeit
Das Datenschutzrecht ist an dem Grundsatz der Datensparsamkeit und –vermeidung ausgerichtet. Die Zielvorstellung des Datenschutzrechts ist, dass über den Einzelnen so wenig Daten wie möglich erhoben und verwendet werden. Das TMG verlangt, dass dem Nutzer eine anonyme oder pseudonyme Nutzung ermöglicht wird, soweit dies technisch möglich und zumutbar ist [8]. Der Nutzer ist hierüber auch zu informieren. Nur die für die Nutzung des Dienstes erforderlichen Angaben dürfen als Pflichtangaben ausgestaltet sein.

Die Auswertung von Nutzungsdaten steht daher im Zielkonflikt zu diesem Grundsatz des Datenschutzrechts und wird von den Datenschutzaufsichtsbehörden auch besonders kritisch „beobachtet“.


Verwendung von Nutzungsdaten

Für die Verwendung von Nutzungsdaten nach den Datenschutzbestimmungen des TMG sind zunächst das Verbot mit Erlaubnisvorbehalt und der Grundsatz der Zweckbindung zu beachten (siehe oben). Demnach ist für die Verwendung von Nutzungsdaten entweder die Einwilligung des betroffenen Nutzers erforderlich oder eine gesetzliche Regelung muss greifen.

Einwilligung als Grundlage
Der Text der Einwilligung legt – über die gesetzlichen Erlaubnistatbestände hinaus – den Rahmen einer zulässigen Erhebung und Verwendung von personenbezogenen Daten fest. Voraussetzung ist allerdings, dass der Betroffene zustimmt.

Dementsprechend ergeben sich zwei Anforderungen an eine Einwilligung:

• Dem Betroffenen muss der Text der Einwilligung vor einer entsprechenden Zustimmungserklärung bekannt gemacht werden
• Und es muss dann durch ihn eine Reaktion erfolgen, die als seine Zustimmung gewertet werden kann.

Wichtig ist also: Der Interessierte muss den Text zur Kenntnis nehmen können, BEVOR er seine Einwilligung – zum Beispiel durch das Anklicken eines Bestätigungsbuttons – zum Ausdruck bringt. Ein Ablauf nach dem Muster „Zustimmen, dann Text anzeigen“ würde nicht zu einer wirksamen Einwilligung führen.

Der Text der Einwilligung dient der Transparenz und legt fest, für was, für wen und durch wen analysiert oder geworben werden darf. Der Kunde muss konkret über Zweck, Art und Umfang der Erhebung und Verwendung seiner Daten sowie darüber, wer diese Daten erhebt, unterricht werden. Konkret zu unterrichten bedeutet dabei, dem Nutzer auf der Grundlage der Informationen verständlich zu machen, zu welchem Zweck er seine Daten mitteilt und was mit diesen Daten geschieht.

Einwilligung: Freiwilligkeit
Die Einwilligung muss freiwillig erklärt werden. Gegen den allgemeinen Grundsatz der Freiwilligkeit wird dann verstoßen, wenn der Betroffene keine ernstzunehmende Entscheidungsalternative hat, ob seine personenbezogenen Daten verwendet werden.

Als besondere Ausprägung des Erfordernisses der Freiwilligkeit ist in § 28 Abs. 3b
BDSG (in der Fassung vom 01.09.2009) ausdrücklich das sogenannte Kopplungsverbot geregelt. Danach ist es verboten, die Erbringung der Dienstleistung von der Einwilligung in die Verarbeitung oder Nutzung der Daten für Werbezwecke abhängig zu machen. Die Regelung greift beispielsweise in folgender Konstellation: Dem Kunden wird ein regelmäßig erscheinender E-Mail-Newsletter angeboten. Die Zusendung des Newsletters wird aber davon abhängig gemacht, dass das „Leseverhalten“ analysiert werden darf. Verboten ist eine solche Koppelung aber nur dann, wenn dem Nutzer ein Zugang zu einer gleichwertigen Leistung ohne eine solche Einwilligung nicht oder nicht in zumutbarer Weise möglich ist [9].

Einwilligung: Formerfordernisse
Neben den vorgenannten inhaltlichen Vorgaben sind auch formale Anforderungen zu beachten. Ein Verstoß gegen die Formerfordernisse der Einwilligung macht die Einwilligung grundsätzlich unwirksam. Nach dem Bundesdatenschutzgesetz muss die Einwilligung grundsätzlich der Schriftform genügen.

Für das Online-Marketing ist daher entscheidend, dass das TMG in § 13 Abs. 2 TMG (und auch § 94 TKG und § 28 Abs. 3a BDSG) die sogenannte elektronische Erklärung der Einwilligung kennen. Die Voraussetzungen sind zusammengefasst, dass

1. der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
2. die Einwilligung protokolliert wird,
und
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und der Nutzer
die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

Die Einwilligung muss also durch ein aktives Tun ausgelöst werden. Dies kann ein „Maus-Klick“, ein Tastendruck oder das Ausfüllen eines Freifeldes – zum Beispiel durch Eintragung der E-Mail-Adresse – sein. Es muss protokolliert werden, wer der Urheber der Einwilligung ist. Wegen des Grundsatzes der Datensparsamkeit muss hierfür beispielsweise die Angabe der E-Mail-Adresse genügen. Des Weiteren muss der Zeitpunkt sowie der unveränderte Text der Einwilligungserklärung protokolliert werden. Die Informationen sollten für die Dauer des Nutzungsverhältnisses vorgehalten werden.

Einwilligung: Recht auf Widerruf
Nach § 13 Abs. 2 Nr. 4 TMG / § 94 Nr. 4 TKG / § 28 Abs. 3b BDSG muss der Nutzer seine Einwilligung jederzeit widerrufen können. § 13 Abs. 3 TMG regelt für Telemediendienste zusätzlich, dass der Nutzer vor der Erklärung seiner Einwilligung auf sein Recht zum jederzeitigen Widerruf der Einwilligung hingewiesen werden muss.

Aus dem Hinweis muss sich ergeben,

• dass ein Widerrufsrecht besteht,
• dass der Nutzer es zu jedem Zeitpunkt mit Wirkung für die Zukunft ausüben
kann UND
• wem gegenüber er es geltend machen kann.

Dieser Hinweis muss jederzeit für den Nutzer abrufbar sein. Im Übrigen besteht nach § 28 Abs. 4 BDSG die allgemeine Pflicht, den Betroffenen über sein Widerrufsrecht bezüglich der Verwendung seiner Daten für Werbung zu informieren.

Einwilligung: Beweislast
Von großer praktischer Bedeutung ist, dass nicht nur alle Anforderungen eingehalten sind, sondern dass der Werbetreibender dies auch beweisen kann. Kann der Werbetreibende diese Beweislast nicht erfüllen, gelten in einem gerichtlichen Verfahren – vereinfacht gesagt – die Zulässigkeitsvoraussetzungen als nicht erfüllt.

Einwilligung: Fazit
Die Betrachtung der Voraussetzungen einer Einwilligung zeigt, dass sie typischerweise für die Analyse des Nutzungsverhaltens des Betroffenen in der Praxis nicht in Betracht kommt. Denn die Abfrage der Einwilligung ist mit Blick auf die Nutzerfreundlichkeit so „sperrig“, dass ihre Erteilung eher unwahrscheinlich ist.


Gesetzliche Regelung als Grundlage

Nutzungsdaten sind die personenbezogenen Daten, die erforderlich sind, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen [10]. Der Diensteanbieter darf diese Daten nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen [11]. Danach darf der Betreiber einer Internetpräsenz beispielsweise die IP-Adresse eines Nutzers der Internetseite erfassen, um die Nutzung der Internetseite zu ermöglichen.

Über das Ende dieser Nutzung hinaus darf der Diensteanbieter die Nutzungsdaten nur verwenden, soweit sie für Zwecke der Abrechnung mit dem Nutzer erforderlich sind; solche Daten werden als Abrechnungsdaten bezeichnet [12]. Beispielsweise muss der Betreiber einer Internetseite die IP-Adresse des Nutzers der Internetseite grundsätzlich unverzüglich nach Beendigung der Nutzung löschen. Eine Ausnahme greift nur ein, wenn die IP-Adresse – was typischerweise nicht der Fall ist – zur Abrechnung der Nutzung der Internetseite erforderlich ist.

Für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien darf der Diensteanbieter Nutzungsprofile bei Verwendung von Pseudonymen erstellen. Vorausgesetzt der Nutzer widerspricht dem nicht. Denn der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden [13].

Allein unter diesen Voraussetzungen dürfen Nutzungsdaten kraft Gesetzes – also ohne Einwilligung des Betroffenen – für Werbezwecke verwendet werden. Für die Praxis ergeben sich daraus enge Grenzen für die datenschutzkonforme Verwendung von Nutzungsdaten.

Nutzungsprofile
Aus datenschutzrechtlicher Sicht ergeben sich mit Blick auf das Vorgenannte drei Abstufungen zur Erstellung von Nutzungsprofilen:

• die Erstellung personenbezogener Nutzungsprofile darf grundsätzlich nur mit Einwilligung erfolgen,
• pseudonymisierte Nutzungsprofile sind unter bestimmten gesetzlichen Voraussetzungen bis zum Widerspruch des Betroffenen zulässig,
• anonymisierte Nutzungsprofile unterliegen – mangels Personenbezug – keiner datenschutzrechtlichen Beschränkung.

Personenbezogene Nutzungsprofile
Den weitesten Spielraum eröffnet das Einholen der Einwilligung. Für das E-Mail-Marketing könnte beispielsweise das Zusammenführen der Daten über das Öffnungs- und Klickverhalten mit den Daten des Inhabers der E-Mail-Adresse interessant sein. Dies könnte auf der Grundlage einer Einwilligung des Betroffenen zulässig gestaltet werden. Ob diese Gestaltung marketingtechnisch in Betracht kommt, ist hingegen eine andere Frage.

Pseudonyme Nutzungsprofile
Nach §15 Abs. 3 TMG (sogenannte pseudonyme Nutzungsprofile) ist die Erstellung von Nutzungsprofilen zur Werbung und zur Marktforschung gesetzlich erlaubt, sofern drei Voraussetzungen gemeinsame beachtet werden:

• Es müssen Pseudonyme verwendet werden.
• Der Betroffene ist im Zuge der Erhebung seiner Daten auf sein Widerspruchsrecht gegen die Erstellung von Nutzungsprofilen hingewiesen worden; ein nachträglicher Hinweis genügt nicht.
• Das Nutzungsprofil darf nicht mit dem Träger des Pseudonyms zusammengeführt werden.

Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren [14].

Aus dem Hinweis auf das Widerspruchsrecht ergibt sich, dass der Betroffene auch darüber zu informieren ist, dass Nutzungsprofile erstellt werden. Der Hinweis muss zu Beginn der Nutzung des Dienstes durch den Betroffenen erfolgen. Ein Hinweis nach Beginn oder gar nach Abschluss der Profilierung genügt nicht.

Anonyme Nutzungsprofile
Anonyme Auswertungen bedürfen grundsätzlich keiner datenschutzrechtlichen Erlaubnis, da mit der Anonymisierung das Datenschutzrecht eigentlich nicht mehr anwendbar ist. Bei der Erstellung anonymer Nutzungsprofile muss allerdings die Anonymität bereits bei der Erhebung der Information, beispielsweise des Klick-Verhaltens, gegeben sein.


Beispiel Webtracking-Tools

Bei Analyseverfahren zur Reichweitenmessung bei Internetangeboten werden Nutzungsprofile durch Webseitenbetreiber erstellt. Zu der datenschutzkonformen Ausgestaltung dieser Analyseverfahren hat der sogenannter Düsseldorfer Kreis in einem Beschluss vom 26./27.11.2009 Stellung genommen [15]. Der Düsseldorfer Kreis ist die Zusammenkunft der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich. Sein Beschluss ist nicht gesetzesgleich, sondern stellt die Ankündigung des Verwaltungshandelns der Datenschutzaufsichts-behörden dar.

In diesem Beschluss führt der Düsseldorfer Kreis aus, dass viele Web-Seitenbetreiber das Surf-Verhalten der Nutzerinnen und Nutzer analysierten. Diese Analyse erfolge zu Zwecken der Werbung und Marktforschung oder bedarfsgerechten Gestaltung der Angebote der Seitenbetreiber. Zur Erstellung derartiger Nutzungsprofile würden die Seitenbetreiber vielfach Software/Dienste verwenden, die von Dritten kostenlos oder gegen Entgelt angeboten werden [16]. Es geht also beispielsweise um Google Analytics und vergleichbare Verfahren.

Datenschutzkonforme Gestaltungsmöglichkeiten der Analyseverfahren Der Düsseldorfer Kreis wendet das TMG an und stellt klar, dass für den Einsatz solcher Analyseverfahren drei Möglichkeiten in Betracht kommen: Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) sei aufgrund der Personenbeziehbarkeit dieser Daten nur mit bewusster, eindeutiger Einwilligung zulässig.

Liege eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist [17]. Die Kürzung läuft auf eine Anonymisierung hinaus. Die Rechtsauffassungen sind allerdings noch nicht einheitlich, ob eine Kürzung der IP-Adresse um drei Ziffern für eine Anonymisierung genügt [18]. Als dritte Möglichkeit kommen pseudonyme Nutzungsprofile nach §15 Abs. 3 TMG in Betracht.

Pseudonyme Nutzungsprofile
Zu den pseudonymen Nutzungsprofilen nach § 15 Abs. 3 TMG weist der Düsseldorfer Kreis in seinem Beschluss vom 26./27.11.2009 zunächst darauf hin, dass die IP-Adresse selbst kein Pseudonym ist und konkretisiert die Anforderungen sodann wie folgt: [19]

„Den Betroffenen ist eine Möglichkeit zum Widerspruch gegen die Erstellung von Nutzungsprofilen einzuräumen. Derartige Widersprüche sind wirksam umzusetzen.

Die pseudonymisierten Nutzungsdaten dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden. Sie müssen gelöscht werden, wenn ihre Speicherung für die Erstellung der Nutzungsanalyse nicht mehr erforderlich ist oder der Nutzer dies verlangt.

Auf die Erstellung von pseudonymen Nutzungsprofilen und die Möglichkeit zum Widerspruch müssen die Anbieter in deutlicher Form im Rahmen der Datenschutzerklärung auf ihrer Internetseite hinweisen.“ [19]

Aus dem Beschluss ergibt sich erfreulicherweise, dass der Hinweis auf den Einsatz solche Analyse-Tools in der allgemeinen Datenschutzerklärung („Privacy Policy“) der Internetseite erfolgen kann. Der Hinweis auf Analyse-Tools muss daher nicht individuell bei jedem Seitenaufruf angezeigt werden.

Die Anforderungen zur Umsetzung des Widerspruchs bedeutet allerdings zweierlei: Der Widerspruch muss individuell im jeweiligen Einzelfall umgesetzt werden (können). Der Nutzer wird daher wohl nicht darauf verwiesen werden können, dass er sich gegen Nutzungsprofile durch die Installation von „Plug-ins“ in seinen Browser wehren kann. Aber insoweit ist das „letzte Wort“ noch nicht gesprochen [20].

Bereitstellung durch Analyse-Dienstleister
Dieser Beschluss des Düsseldorfer Kreises weist noch auf einen weiteren wichtigen Aspekt hin. „Hostet“ ein Dienstleister die Analysesoftware auf seinen Systemen und/oder nimmt ein Dienstleister die Auswertung vor, so ist dies ebenfalls ein datenschutzrechtlich relevanter Vorgang. Die Übertragung von personenbezogener Daten an diesen Dienstleister muss den Anforderungen des Datenschutzrechts genügen. Das wird typischerweise einen Vertrag über die Auftragsdatenverarbeitung nach Maßgabe des § 11 BDSG erfordern [21].

Bei Dienstleistern außerhalb der EU/des EWR kommt auch eine Auftragsdatenverarbeitung nicht zum Tragen [22]. Es muss bei diesen auch zusätzlich geprüft werden, ob bei diesen ein angemessenes Datenschutzniveau im Sinne der §§ 4b, 4c BDSG gegeben ist.

Fazit zur Analyse des Nutzungsverhaltens
Zusammengefasst zeigt sich: Die Analyse von Nutzungsverhalten steht im Fokus der Datenschutzaufsichtsbehörden. Die Einführung solcher Tools ist datenschutzrechtlich nicht auf die „leichte Schulter“ zu nehmen.


Beispiel: Facebook-Like-Button

Beim sogenannten „Like-Button“ von Facebook geht es zwar nicht um die Erhebung und Verwendung von Nutzungsdaten, aber aufgrund der Verbreitung wird dieser gleichwohl angesprochen.

Funktionsweise des Facebook-Like-Button
Die Xamit Bewertungsgesellschaft mbH beschreibt im Datenschutzbarometer 2010 die Funktionsweise wie folgt: [23]

„Der Betreiber einer Webseite kann einfach einen von Facebook zur Verfügung gestellten Skript-Code einbinden. Besucht der Internetsurfer Max Mustermann eine so vorbereitete Webseite, dann sieht er einen kleinen Button mit einem nach oben gerichteten Daumen, der die Beschriftung „Like“ oder „Gefällt mir“ trägt. Ist Max ein Facebook-Nutzer, könnte er auf diesen Button klicken, um anderen Facebook-Mitgliedern mitzuteilen, dass ihm diese Webseite oder ein Element darauf, etwa ein spannender Bericht, besonders gut gefällt.

Doch was ist inzwischen unbemerkt von Max passiert? Nachdem er die Webadresse in den Browser eingetippt hat, fordert dieser die entsprechende Webseite an. Je nach gewählter Button-Variante ist in der Webseite ein iframe von Facebook oder ein Skript eingebettet. Beide Varianten nehmen über eine von Facebook bereitgestellte Schnittstelle Kontakt mit dem sozialen Netzwerk auf.

So erfährt Facebook,

• welche Webseite angesehen wurde,
• die IP-Nummer des Rechners, auf dem die Seite angeschaut wurde und
• Max’ Benutzer-ID von Facebook – sofern Max gleichzeitig bei Facebook eingeloggt ist.

Ohne auch nur einmal auf den Button geklickt zu haben, informiert Max auf diese Weise Facebook während des Surfens über alle von ihm besuchten Seiten, die den Like-Button eingebunden haben. Max bemerkt davon nichts. Klickt Max auf den Button und ist dabei gleichzeitig bei Facebook angemeldet, so erhalten seine Freunde in ihrem Facebook News-Feed eine Mitteilung, welche Webseite er mag inklusive eines Links zu dieser Seite.“ [23]

Datenschutzrechtliche Problemstellung
Die Einbindung dieser Funktion erscheint – auf den ersten Blick – für den Betreiber der Internetseite nicht unproblematisch; wenn auch die rechtliche Bewertung noch nicht abschließend geklärt ist. Die übermittelte IP-Adresse wird durch den Düsseldorfer Kreis als personenbezogenes Datum bewertet [24]. Das Datenschutzrecht ist demnach zu beachten.

Wenn nun der Betreiber der Internetseite als derjenige betrachtet wird, welcher die vorgenannten Daten an Facebook übermittelt, stellt sich die Frage, wonach dies zulässig ist.

Eine Einwilligung entsprechend den datenschutzrechtlichen Vorgaben liegt wohl nicht vor. Die Zulässigkeit müsste sich daher aus einer gesetzlichen Regelung ergeben. Es bestehen erhebliche Zweifel, dass die Übertragung der Daten als Bestandteil der Nutzung der Internetseite gesehen werden kann, da die Nutzung der Internetseite auch ohne diese Übertragung möglich ist. Die Voraussetzungen eines pseudonymen Nutzungsprofils liegen ebenfalls nicht vor, da der Düsseldorfer Kreis die IP-Adresse nicht als Pseudonym akzeptiert [25] und das gerade auch nicht Sinn des „Like-Buttons“ ist.

Es könnte versucht werden, auf die Interessensabwägungsklausel nach § 28 BDSG zurückzugreifen. Zunächst bestehen schon erhebliche Zweifel an der Anwendbarkeit der Interessensabwägungsklausel nach § 28 BDSG. Ebenso zweifelhaft ist, ob die Datenschutzaufsichtsbehörden im Rahmen einer solchen Interessensabwägung zur Zulässigkeit der Datenübertragung kämen. Dies zeigen die Ausführungen zur Erstellung von Nutzungsprofilen (siehe oben).

Rechtsprechung zum Facebook-Like-Button?
Das Landgericht Berlin sowie das Kammergericht Berlin als Rechtsmittelgericht hatten sich ebenfalls mit der Zulässigkeit des Facebook-Like-Buttons befasst. Beide Gerichte bewerten aber nicht abschließend die datenschutzrechtliche Zulässigkeit des Facebook-Like-Buttons. Der geltend gemachte Unterlassungsanspruch wurde allein aufgrund von Erwägungen zum Gesetz gegen den unlauteren Wettbewerb (UWG) durch die Gerichte verneint. Sie kommen zu dem Ergebnis, dass der behauptete Datenschutzverstoß, selbst wenn er gegeben sein sollte, nicht den geltend gemachten Unterlassungsanspruch nach dem UWG begründet. Es handelt sich dabei um eine Besonderheit des UWG und nicht des Datenschutzrechts. Der Entscheidung des Kammergerichts sind jedoch Zweifel an der Zulässigkeit der Gestaltung des Facebook-Like-Buttons zu entnehmen; jedenfalls dann, wenn auf der Internetseite nicht ausreichend über die Abläufe bei der Betätigung des Facebook-Like-Buttons informiert wird [26].

Fazit zum Facebook-Like-Button
Zusammengefasst zeigt sich, dass es noch nicht abschließend geklärt ist, ob der Facebook-Like-Button datenschutzkonform eingesetzt werden kann. Die Verwendung des Facebook-Like-Buttons sollte – wie jeder datenschutzrelevante Vorgang – dennoch nicht auf die „leichte Schulter“ genommen werden.


Fazit

Das Datenschutzrecht legt der Verwendung von Nutzungsdaten zu Marketingzwecken ein enges Korsett an. Die Grundhaltung des deutschen Datenschutzrechts scheint daher mit vielen innovativen Online-Marketing-Anwendungen in Konflikt zu stehen. Dass es aber tatsächlich zu einem Konflikt kommt, ist nicht zwingend. Allerdings bedürfen im Ausland entwickelte Nutzungsansätze der Anpassung, um mit dem deutschen Datenschutzrecht konform zu sein.


Literatur

[1] Jens Eckhardt: IP-Adresse als personenbezogenes Datum — neues Öl ins Feuer Personenbezug im Datenschutzrecht — Grenzen der Bestimmbarkeit am Beispiel der IPAdresse. — CR 2011, 339.
[2] Jens Eckhardt: Datenschutzerklärungen und Hinweise auf Cookies. — S. 46 ff, ITRB 2005.
[3] Gesetzliche Definition des §3 Abs. 6 BDSG.
[4] § 13 Abs. 1 TMG.
[5] § 13 Abs. 1 S. 3 TMG.
[6] § 13 Abs. 1 S. 1 TMG.
[7] Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internet-Angeboten; und siehe unten unter Ziffer 6.
[8] § 13 Abs. 6 TMG.
[9] Jens Eckhardt: Datenschutz im Direktmarketing nach dem BDSG – Quo vadis. — CR 2009, 337.
[10] § 15 Abs. 1 TMG.
[11] § 15 Abs. 1 TMG.
[12] § 15 Abs. 4 TMG.
[13] § 15 Abs. 3 TMG.
[14] so gesetzlich definiert in § 3 Abs. 6a BDSG.
[15] Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten.
[16] Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten.
[17] Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten.
[18] Jens Eckhardt: IP-Adresse als personenbezogenes Datum — neues Öl ins Feuer Personenbezug im Datenschutzrecht — Grenzen der Bestimmbarkeit am Beispiel der IPAdresse. — CR 2011, 339.
[19] Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten.
[20] Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Stellungnahme „Datenschutzrechtliche Bewertung des Einsatzes von Google Analytics“, Januar 2009.
https://www.datenschutzzentrum.de/tracking/20090123_GA_stellungnahme.pdf (Zuletzt eingesehen am 24.05.11).
[21] Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten.
[22] § 3 Abs. 8 Satz 3 BDSG.
[23] Xamit Bewertungsgesellschaft mbH: Datenschutzbarometer 2010 – Neue Herausforderungen für Datenschützer. — S. 13. http://www.xamit-leistungen.de/downloads/XamitDatenschutzbarometer2010.pdf (Zuletzt eingesehen am 24.05.11).
[24] Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten.
[25] Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 26./27. November 2009 in Stralsund zur datenschutzkonformen Ausgestaltung von Analyseverfahren zur Reichweitenmessung bei Internetangeboten.
[26] KG Berlin, Beschl. v. 29.04.2011, Az. 5 W 88/11.