Kategorien
E-Business Rechtliches

Neue Trackingmethode: Sind Webbrowser-Fingerprints mit dem Datenschutzrecht vereinbar?

Das sogenannte „Tracking“ von Userverhalten ist schon seit langem ein lukratives Geschäft für viele Unternehmen, besonders im Bereich des E-Business. Denn anhand der gewonnenen Informationen könnten passgenaue Profile der Internetnutzer ausgearbeitet und interessengerechte Werbung ausgesteuert werden. Bisher basierte das Tracking in erster Linie auf Cookies, die auf dem Endgerät des Users gespeichert werden. Doch immer
beliebter werden die sogenannten „Webbrowser Fingerprints“, die auch zum Internettracking verwendet werden können.

dirt-88534_640

Was sind Browser Fingerprints?

Bei der neuen Trackingmethode Browser Fingerprinting werden durch eine beliebige Website Informationen über einen bestimmten Browser gesammelt. Einige Informationen werden vom Computer automatisch an den Webserver geschickt, andere lassen sich durch JavaScript oder Flash auslesen. Dazu gehören Informationen wie etwa die installierten Schriftarten auf einem Browser, das verwendete Betriebssystem des Nutzers, Bildschirmauflösungen, Farbtiefe sowie installierte Plugins. Wenn diese Daten zusammengesetzt werden, ergibt sich daraus ein „digitaler Fingerabdruck“ eines Systems, was dazu führt, dass dieses Gerät mehr oder weniger genau jederzeit wiedererkannt werden kann.

Grundlagen des Trackings

Grundsätzlich können Webseitenbetreiber und Drittanbieter (wie etwa Werbenetzwerke und Analysedienste) gleichermaßen Nutzerdaten für Werbezwecke nachverfolgen. In dem Moment, in dem der Internetnutzer die Dienste des Webseitenbetreibers über das Internet aufruft, kann dieser die Informationen des Nutzers tracken. Der Drittanbieter ist zum Beispiel mit Trackingpixel und Banner auf der Seite des Webseitenbetreibers eingebunden. Wenn der Nutzer eine Internetseite aufruft, wird auch eine Verbindung zwischen Drittanbieter und Nutzer hergestellt und es wird eine direkte Kommunikation zwischen Nutzer und dem Drittanbieter ermöglicht. In beiden dargestellten Fällen können Daten des Nutzers übertragen werden. Unter Datenschutzgesichtspunkten ist neben den anderen Formen des Trackings (Cookies, IP-Adressen etc.) gerade das Browser Fingerprinting eine sehr umstrittene Technologie, die von den Gesetzen und der Rechtsprechung noch nicht abschließend bewertet wurde.

So können mehrere rechtliche Fragen gestellt werden: Ist Datenschutzrecht überhaupt anwendbar? Wer ist im Drei-Personen-Verhältnis, wenn die Fingerprints von Drittanbietern verarbeitet werden, verantwortliche Stelle und damit für die Verarbeitung zuständig? Weiter gibt es auch rechtliche Unklarheiten bei der Verarbeitung von Webbrowser Fingerprints.

detektiv

Anwendbarkeit des Datenschutzrechts

Im Moment wird diskutiert, ob Browser Fingerprints überhaupt dem Datenschutzrecht unterfallen. Grund dafür ist, dass Datenschutzrecht nur beim Vorliegen von personenbezogenen Daten Anwendung findet. Browser Fingerprints können jedoch nicht zwangsläufig Rückschlüsse auf die „hinter“ dem Browser stehende Person geben. Im Gegensatz zum Beispiel zu IP-Adressen gibt es keine Zuordnungsmöglichkeit, anhand derer man den Browser Fingerprint einem bestimmten Account oder einer bestimmten Person zuordnen könnte. Eine Zuordnung ist – wenn überhaupt – nur dann möglich, wenn Zusatzinformationen vorhanden sind, oder wenn der Fingerprint zusammen mit der IP-Adresse in einer Datenbank gespeichert wird. Solange dieses Zusatzwissen nicht vorhanden ist, bleibt der Internetuser eine zwar eindeutige, aber nicht zuordenbare Person. Sollte man von einer Anwendbarkeit des deutschen Datenschutzrechts ausgehen, wird der Sachverhalt komplizierter und es ist nach der rechtlichen Zulässigkeit zu fragen.

Zulässigkeit der Datenverarbeitung

Betrachtet man zunächst ausschließlich die Browserdaten, ist zu klären, ob die Erhebung und Verarbeitung dieser Daten überhaupt zulässig sind. Laut § 12 Abs. 1 TMG bedarf es für die Verwendung der Daten- sollte keine vorherige Einwilligung vorliegen- eine Ermächtigungsgrundlage. Diese ist in § 15 Abs. 1 TMG zu sehen.

§ 15 TMG Nutzungsdaten 

(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten). 

(2) (…) 

Die Übermittlung der IP-Adresse ist zwingend erforderlich, wenn der Internetnutzer den jeweiligen Telemediendienst in Anspruch nehmen möchte. Ohne die Übermittlung der IP-Adressen, könnte zwischen den Parteien kein Kontakt zustande kommen. Damit ist die Erhebung und Verarbeitung der Browserdaten, die für die Nutzung des Dienstes erforderlich sind, über § 15 Abs.1 TMG gerechtfertigt.

Geht es jedoch um die Browserdaten zu Profiling- und Trackingzwecken, muss dies nach § 15 Abs. 3 TMG unter Verwendung eines Pseudonyms erfolgen. Die Unternehmen müssen den Internetnutzer außerdem darüber informieren, dass seine Daten zu Zwecken der Werbung erhoben oder verwendet werden, und ein Widerspruch dagegen möglich ist.

Unternehmen sollten diese Information zum Beispiel in ihre Datenschutzerklärung einbauen. Damit können die Voraussetzungen des §§ 15 Abs. 3, 13 Abs. 1 TMG unproblematisch erfüllt werden.

Verantwortliche Stelle beim Browser Fingerprinting

Aufgrund des Dreiecksverhältnisses zwischen Webseitenbetreiber, Drittanbieter und Nutzer ist zu klären, wer genau verantwortliche Stelle im Sinne des Datenschutzrechts ist. Grundsätzlich könnte jeder, der direkt für die Datenerhebung und Verarbeitung zuständig ist,verantwortliche Stelle sein.

Unstreitig ist bei der Erhebung von personenbezogenen Daten des Nutzers durch den Webseitenbetreiber dieser als verantwortliche Stelle anzusehen. Erhebt der Drittanbieter die personenbezogenen Daten für seine Werbezwecke, ist er verantwortliche Stelle. Einige vertreten noch die Ansicht, dass der Webseitenbetreiber ebenfalls für die Verarbeitung durch den Drittanbieter verantwortlich sei. Dagegen spricht jedoch, dass der Webseitenbetreiber beispielsweise nicht zwischen Nutzer und Drittanbieter steht und die übermittelten Daten überhaupt nicht kennt. Damit kann der Webseitenbetreiber in diesem Verhältnis nicht als verantwortliche Stelle angesehen werden.

Es ist davon auszugehen, dass nur derjenige verantwortliche Stelle ist, der die Daten auch direkt erhoben hat.

crowd-sourcing-154759_640

Fazit: Zulässiges Tracking, soweit hinreichend anonymisiert

Viele Einzelheiten sind in dem Zusammenhang mit Brower Fingerprints ungeklärt. Einigkeit besteht darüber, dass diese Methode des Trackings zulässig ist, wenn Unternehmen in einer pseudonymisierten Art und Weise tracken, und die Nutzer über das Widerspruchsrecht informiert werden.

Dies ist sehr zu begrüßen, denn das anonymisierte Internettracking stellt insbesondere für E-Business Unternehmen eine gute Möglichkeit dar, gezielt Werbung zu schalten und damit passgenaue Angebote zu machen. Nur mit einer gezielten Werbung kann es Unternehmen gelingen, schnell zu wachsen und sich auf dem Markt durchzusetzen.

Die Autorin:

Mira M. Martz ist Rechtsassessorin und und war nach Ihrem zweiten Staatsexamen mehrere Jahre in der Unternehmenskommunikation in Berlin tätig. Stationen waren unter anderem zwei Bundesverbände und die Kommunikationsagentur Doebler PR. Bei der Rechtsanwaltskanzlei Schürmann Wolschendorf Dreyer ist sie für die Kommunikation und das Marketing zuständig.

Die Kanzlei Schürmann Wolschendorf Dreyer betreut namhafte nationale und internationale Unternehmen, Freiberufler und Kreative im Urheber- und Medienrecht, Gewerblichen Rechtsschutz, IT- und Datenschutzrecht sowie den angrenzenden Rechtsgebieten des Handels-, Gesellschafts- und Steuerrechts.

Auf der Kanzlei-Website Medien und Marken erscheinen regelmäßig Fachaufsätze zu Rechtsfragen aus dem digitalen Themenspektrum.

Für die ISiCO Datenschutz GmbH verantwortet Frau Martz die Presse- und Öffentlichkeitsarbeit sowie das Marketing des Beratungsunternehmens. Die ISiCO Datenschutz GmbH ist ein Beratungsunternehmen, welches Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

Kategorien
E-Business Rechtliches

Gefahr für Seitenbetreiber: Abmahnungen bei fehlender oder fehlerhafter Datenschutzerklärung

Rechtsanwalt Krunoslav Kopp aus Stuttgart befasst sich mit dem Thema mangelhafter oder gänzlich fehlender Datenschutzerklärungen und klärt dabei unter anderem den Begriff des Diensteanbieters, sowie die spannende Frage, ob Verstöße gegen die einschlägigen Vorschriften überhaupt von Wettbewerbern zum Anlass von Abmahnungen gemacht werden dürfen. Lassen Sie sich von Herrn Kopp auf den aktuellen Stand der Rechtsfindung bringen:

Juristen und das Web: eine akribische Herangehensweise

Vermutlich unterscheidet sich das Surfverhalten von Juristen im Internet stark von dem anderer Bevölkerungsgruppen. Die meisten Juristen berichten davon, dass sie zuerst im Impressum nachsehen, mit wem sie es zu tun haben, wenn sie eine Seite zum ersten Mal aufrufen, anschließend die Geschäftsbedingungen im Überblick zur Kenntnis nehmen und dann noch die Datenschutzerklärung überfliegen.

Dabei fällt auf, dass die meisten Datenschutzerklärungen auf deutschen Websites, soweit überhaupt vorhanden, mindestens bedenklich sind. Ob nämlich eine Website eine Datenschutzerklärung braucht, darüber scheint gerade bei gewerblichen Seitenbetreibern ebenso Konfusion wie Unwissenheit zu bestehen, mindestens genauso viel wie bei der Frage, was eine vollständige Datenschutzerklärung alles enthalten muss, und in dieser allgemeinen Konfusion übersehen viele, dass eine fehlerhafte oder gar fehlende Datenschutzerklärung Anlass für Abmahnungen bieten kann. Wie ist die Rechtslage?

Die Pflichten der Diensteanbieter nach dem geltenden Telemediengesetz

Grundsätzlich sieht das Telemediengesetz ein Recht auf Anonymität des Nutzers vor, „soweit dies technisch möglich und zumutbar ist“, § 13 Abs.6 S.1 TMG. Weil dies aber nicht immer möglich und aus Sicht vieler Seitenbetreiber noch weniger erwünscht ist, verpflichtet § 13 Abs.1 TMG jeden Diensteanbieter,

„den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG (…) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist.“

Diensteanbieter ist in diesem Zusammenhang jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt. Nun wird schnell klar, vor allem, wenn mit der unter Juristen herrschenden Ansicht davon ausgegangen wird, dass es sich bei IP-Adressen um personenbezogene Daten handelt, dass kaum eine Website aus dem Anwendungsbereich der Vorschriften fallen dürfte, erst recht nicht solche mit gewerblichem Hintergrund und die Pflicht, eine Datenschutzerklärung vorzuhalten, praktisch jede Website betrifft.

Erlaubt die Rechtsnatur des § 13 Telemediengesetz Abmahnungen?

Die wirklich spannende Frage in diesem Zusammenhang lautet aber, ob Verstöße gegen diese Verpflichtung von Mitbewerbern überhaupt abgemahnt werden können. Ein Gesetzesverstoß begründet nämlich nur dann Ansprüche von Konkurrenten, wenn die entsprechende Vorschrift eine Marktverhaltensregel ist, also zumindest auch dazu dient, das Marktverhalten im Interesse der Markteilnehmer zu regeln. Das ist bei § 13 TMG umstritten, weil die Norm vor allem das Persönlichkeitsrecht und nicht den lauteren Wettbewerb schützen soll.

Während das LG Hamburg (Beschluss v. 16.02.2011, Az.: 312 O 47/11) von einer Marktverhaltensvorschrift und damit einem Wettbewerbsverstoß ausgeht, lehnt das KG Berlin einen solchen ab (Beschluss v. 29.04.2011, Az.: 5 W 88/11).

Vor kurzem ist nun das OLG Karlsruhe (Urteil v. 09.05.2012, Az.: 6 U 38/11) zu der Auffassung gelangt, dass die Vorschriften des Bundesdatenschutzgesetzes (BDSG) Marktverhaltensregeln darstellen, wenn es sich um Daten aus einem Vertragsverhältnis handelt oder sie zu Werbezwecken verwendet werden. Richtigerweise beschränkt das OLG Karlsruhe den Begriff der Marktverhaltensregel nicht auf die rein wettbewerbsbezogene Schutzfunktion einer Vorschrift, so dass dies auch für die entsprechenden Regelungen im TMG gelten dürfte und eine fehlerhafte oder gar fehlende Datenschutzerklärung Abmahnpotential in sich birgt.

Noch ist die rechtliche Situation diffus, signifikant ist aber, dass vor allem neuere Gerichtsentscheidungen wie die des OLG Karlsruhe zur Annahme einer auch marktverhaltensregelnden Schutzwirkung tendieren und sich hier wegen der Bedeutung des Themas Datenschutz zurecht eine Entwicklung in der Rechtsprechung abzeichnet.

Fazit: Besser mit Datenschutzerklärung als mit Bußgeld- und Abmahnungsrisiko

Unabhängig aber von der Frage, ob den einschlägigen Vorschriften marktverhaltensregelnder Charakter beigemessen wird, sollte schon aus Gründen der Compliance auf jeder Website eine Datenschutzerklärung vorgehalten werden. Darüber hinaus droht Post von Datenschutzbehörden, denn wird der Nutzer einer Website nicht richtig, nicht vollständig oder nicht rechtzeitig über die datenschutzrechtlichen Belange im Zusammenhang mit dem Seitenbesuch aufgeklärt, kann dies nach § 16 TMG ein Bußgeld bis zu Euro 50.000 zur Folge haben.

Soweit zu der Frage des „ob“. Was alles in eine ordentliche Datenschutzerklärung hineingehört, hängt hingegen sehr vom konkreten Einzelfall ab, unter anderem davon, ob es sich um Bestands- oder Nutzungsdaten handelt, welche Social-Media-Plugins verwendet werden, welches Analysetool verwendet wird, wie, vom wem und zu welchem Zweck die erhobenen Daten konkret verwendet und miteinander verknüpft werden oder ob die erhobenen Daten zu einem anderen Diensteanbieter weitervermittelt werden. Darüber hinaus treffen den Diensteanbieter weitere datenschutzrechtliche Informationspflichten wie z.B das Widerrufsrecht zur Datenerhebung.

Spätestens aus der Entscheidung des OLG Karlsruhe sollten Betreiber von Websites sich um eine ordentliche und vor allem vollständige Datenschutzerklärung bemühen, die die konkrete Art und den konkreten Umfang der Datenverwendung in einer verständlichen Sprache erklärt. Zwar ist die Rechtsprechung zum Thema noch chaotisch, aber das Risiko abgemahnt zu werden, lohnt sich nicht, weil es zurzeit nicht kalkulierbar ist.

Der Autor:

Krunoslav Kopp hat Rechtswissenschaft und Politikwissenschaft studiert. Nach dem Diplom im Fach Politikwissenschaft in Marburg und dem 1. juristischen Staatsexamen in Tübingen absolvierte er das Referendariat in Düsseldorf und legte dort 2002 das 2. juristische Staatsexamen ab.

Nach dreijähriger Tätigkeit als Referent eines Mitglieds des Europäischen Parlaments in Straßburg und Brüssel wechselte er 2005 in den Beruf des Rechtsanwalts und vertritt seither Unternehmen und Freiberufler hauptsächlich in Angelegenheiten des IT-Rechts, Medienrechts, Urheberrechts und Markenrechts. Er berät zudem bei Unternehmensgründungen, vor allem in den Bereichen IT, eCommerce, Kommunikation, Werbung, Event und Multimedia.

Auf [digitalrecht.net] befasst sich Krunoslav Kopp mit Rechtsfragen in der digitalen Gesellschaft.