CREDICON Abmahnung wegen Google Analytics – Das ist zu beachten

News

Seit einigen Wochen erhalten eine Vielzahl von Webseitenbetreibern Abmahnschreiben der englischen CREDICON Ltd. aus London wegen angeblicher Verletzungen des Persönlichkeitsrechts durch die Nutzung von Google Analytics ohne Anonymisierungstag. Die dort benannten Forderungen sollten jedoch nicht vorschnell beglichen werden.

Was ist passiert?

In dem uns vorliegenden Schreiben behauptet der Geschäftsführer des Unternehmens, Rainer Deyhle, in seinen Persönlichkeitsrechten verletzt worden zu sein. Konkret hätten die Webseitenbetreiber das Analysetool Google Analytics eingesetzt, die so ermittelten IP-Adressen der Nutzer jedoch nicht anonymisiert. Der Nutzer würde darüber auch nicht informiert.

Dabei wird Bezug genommen auf ein nicht näher benanntes BGH-Urteil und andere „allgemeine Erkenntnisse und Gerichtsurteile“, nach denen dies eine abmahnfähige Rechtsverletzung darstellen soll.

Auf die Androhung, die Angelegenheit an einen Rechtsanwalt abzugeben, folgt das Angebot, diese gegen eine Einmalzahlung in Höhe von 248,00 EUR auf sich beruhen zu lassen. Andernfalls würden sich die Kosten auf exakt 1.100,00 EUR belaufen. Dies sei das einzige Vergleichsangebot. Im Übrigen würden weitere Abmahnungen erfolgen, sollte der Verstoß nicht behoben werden.

Da der Streitwert 20.000,00 EUR betrage, handele es sich bei der geforderten Summe um einen „kostengünstigen Hinweis“. Berechtigte Einwände könnten unter der angegebenen Faxnummer mitgeteilt werden. Unberechtigte Einwände hingegen führten zur sofortigen Abgabe der Sache an die besagte Anwaltskanzlei. Für unverbindliche Rückfragen findet sich in dem Schreiben eine „Servicenummer“, über die man für 2,99 EUR pro Minute Näheres erfahren könne.

Sind die Forderungen ernst zu nehmen?

Zunächst ist festzustellen, dass das Schreiben der CREDICON Ltd. einiges durcheinander wirft und auch die rechtliche Argumentation in sich nicht schlüssig ist.

So ist zum jetzigen Zeitpunkt keinesfalls klar, ob dynamische IP-Adressen für sich genommen immer personenbezogene Daten darstellen. Hierzu gibt es zahlreiche, sich teils widersprechende, Gerichtsurteile. Die Frage beschäftigt daher zurzeit auch den BGH. Eine klarstellende Entscheidung steht aber zum jetzigen Zeitpunkt noch aus.

Aus dem vorliegenden Schreiben geht zudem nicht eindeutig hervor, wer hier eine Persönlichkeitsrechtsverletzung geltend machen möchte. Das Schreiben stammt von der CREDICON Ltd., einem Unternehmen mit Sitz in der 196 High Road, London. Dabei ist keineswegs klar, ob Unternehmen in diesem speziellen Fall ein sogenanntes „Unternehmenspersönlichkeitsrecht“ zukommt. Aber auch ein Rechtsanspruch des Unterzeichners, Rainer Deyhle, steht nicht fest. Nicht jedem vermeintlich Betroffenen steht ein Unterlassungsanspruch zu wegen Verletzungen deutscher Datenschutzvorschriften. Es ist also ebenso unklar, wer Inhaber des behaupteten Unterlassungsanspruchs sein soll als auch, ob ein eigener oder fremder Anspruch geltend gemacht werden soll.

Ein entsprechender Anspruch müsste im Falle einer Klage jedenfalls vom Anspruchsteller begründet werden. Dabei wäre zu beweisen, dass und welche Daten an Google übertragen und dass mit der Übertragung datenschutzrechtliche Bestimmungen verletzt werden. Dies erscheint im vorliegenden Fall äußerst schwierig. Ein Screenshot des Seitenquelltextes jedenfalls, wie er dem Schreiben anhängt, ist dazu nicht ausreichend.

CREDICON Ltd. ist bereits für ihre Abmahnschreiben bekannt

Online findet sich – außer in Verbindung mit den vorgenannten Abmahnvorwürfen – kein weiterer Hinweis auf das Unternehmen.

Die Zwielichtigkeit der Abmahnschreiben der CREDICON Ltd. ergibt sich nicht zuletzt aus dem englischen Handelsregister. Danach handelt es sich bei der Gesellschaft um eine sogenannte „dormant company“ (stille Gesellschaft). Dies sind in der Regel Gesellschaften, die ihren Geschäftsbetrieb noch nicht oder nicht mehr ausüben (dürfen). So ist auch bei der im März 2012 gegründeten CREDICON Ltd. keine Geschäftstätigkeit festzustellen. Die Gesellschaft hatte seit ihrer Gründung insgesamt vier Geschäftsführer und verfügt seither über ein Gesellschaftsvermögen von lediglich 100 Pfund. Interessant ist zudem, dass die „Abmahnungen“ im Februar 2017 – etwa zwei Wochen nach Bestellung von Rainer Deyhle als Geschäftsführer –  ihren Anfang genommen haben.

Waren in früheren Abmahnungen der CREDICON Ltd. noch konkrete Gerichtsurteile bezeichnet, die den behaupteten Anspruch untermauern sollten, fehlt ein solcher Hinweis in dem uns vorliegendem Dokument. Aus gutem Grund: Die zuvor in Bezug genommene einstweilige Verfügung des Landgerichts Hamburg ist mit der angeblichen Rechtsverletzung nicht im Ansatz vergleichbar. Weder wurde dort eine tatsächliche Verletzung des Persönlichkeitsrechts festgestellt, noch war die Frage der fehlenden Anonymisierung von IP-Adressen dort Gegenstand des Verfahrens. Einzig der festgesetzte Streitwert von 20.000,00 EUR findet sich – wohl zur Einschüchterung – auch in den neueren Abmahnungen. Auch im Unklaren bleibt, auf welches Urteil des BGH sich der Verfasser bezieht.

Was ist jetzt zu unternehmen?

Grundsätzlich ist davon abzuraten, der Zahlungsaufforderung vorschnell nachzukommen. Es besteht der Verdacht, dass der Anspruchsteller sich mit den Voraussetzungen seiner Behauptung selbst nicht im Detail auseinandergesetzt hat und nun versucht, mit zahlreichen Abmahnungen an schnelles Geld zu kommen. Auch der untypische Verweis auf einen Faxanschluss in England und die Angabe einer kostenpflichten „Servicenummer“ legen den Schluss nahe, dass es sich hier um unseriöse Geschäftspraktiken handelt.

In jedem Fall sollten Sie jedoch prüfen, ob eine Verletzung datenschutzrechtlicher Vorschriften tatsächlich vorliegen könnte. Um letztlich rechtlich auch zukünftig auf der sicheren Seite zu sein, gilt Folgendes: Werden in Ihrem Unternehmen Analysetools wie Google Analytics eingesetzt, ist es auf jeden Fall ratsam, die letzten 8 Bit der zu übermittelnden IP-Adressen zu anonymisieren. Im Übrigen sollte sichergestellt werden, dass Ihre Datenschutzerklärung auch den Einsatz entsprechender Softwares erfasst.

Allein eine Verletzung solcher Vorgaben begründet aber noch keinen Anspruch auf Zahlung einer „außergerichtlichen Entschädigung“, wie es das Schreiben der CREDICON Ltd. nahelegt.

Update 03.04.2018:

Es sind erneut Abmahnungen im Auftrag von Rainer Deyhle unterwegs. Als angeblicher Datenschutzverstoß wird weiterhin die Nutzung von Google Analytics ohne den Quellcode-Zusatz „anonymizeIP“ angegeben. Es ist nicht ratsam, derartige Abmahnungen ungeprüft in den Papierkorb wandern zu lassen. Ebenso wenig sollten Abgemahnte vorschnell eine Unterlassungserklärung abgeben oder Überweisungen tätigen. Da gerichtlich nicht geklärt ist, ob einem einfachen Website-Besucher – wie in der Abmahnung behauptet – ein individuelles Abwehrrecht zusteht, sollte eine solche Abmahnung jedenfalls von einem Anwalt geprüft werden. Zudem sollten Unternehmen bei der Nutzung von Google Analytics zukünftig immer die IP-Adresse anonymisieren. Eine einfache Anleitung inklusive neuer DSGVO-Hinweise finden Sie hier:

Google Analytics datenschutzkonform einsetzen

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Webanalyse und Datenschutz

16 Kommentare zu diesem Beitrag

  1. Egal welche Ziele die CREDICON Ltd. nun tatsächlich verfolg: Nehmen wir das als dankbar als großartigen Motivator an, sich mit seinem betrieblichen Datenschutz auseinander zu setzen und ggf. einen externen DSB zur Unterstützung zu bestellen. Solche und andere Ereignisse sind leider notwendig, um die „es passiert doch eh nichts“-Fraktion zum Einlenken zu bewegen. Manche interessieren sich halt nicht für Betroffenenrechte und benötigen dann halt solche und hoffentlich noch viele weitere Motivationen.

    • Das ist sicherlich ein nachvollziehbarer Gedanke. Nach unseren Erfahrungen herrscht gerade im Datenschutz häufig eine große Rechtsunsicherheit. Dieser sollte mit entsprechend geschulten Datenschutzbeauftragten begegnet werden, um gerade auch solchen dubiosen Praktiken wirksam vorbeugen zu können.

  2. Ich sehe das ähnlich wie „Betroffener“

    Es gibt tatsächlich unzählige Blogs, die
    -kein korrektes Impressum führen,
    -keine ordentliche Datenschutzerklärung mit Opt-Out-Cookie zur Verfügung stellen und
    -keine Anonymisierung der IP vornehmen (das braucht nämlich nicht vermuten. Ein einfacher Blick in den Quelltext reicht dabei schon aus!)

    Mich ärgert es, dass es vielen Leuten komplett egal ist, was der Datenschutz verlangt. Wer eine Seite betreibt, muss seine Verantwortung tragen und sich mit den rechtlichen Gegebenheiten auseinander setzen. Wer kleine Fehler macht, sollte nicht sinnlos abgemahnt werden, wer sich jedoch mit dem sprichwörtlichen Hinterteil drauf setzt, sollte berechtigterweise in seine Schranken gewiesen werden.

  3. Ich habe ein ähnliches Schreiben per Mail von Reiner Deyhle erhalten:

    Betreff: Unterlassungsaufforderung an die wegen unerlaubter Weitergabe meiner IP-Adresse

    [Kommentar gekürzt]

    Ich danke für jede Hilfe und jeden Ratschlag!

  4. Unterlassungs- und Beseitigungsaufforderung an die
    *** wegen unerlaubter Weitergabe meiner IP-Adresse
    bei einem Besuch Ihrer Webseite ** am 14.03.2018 um 18.28.56 Uhr stellte ich fest, dass Sie im Rahmen dieser Webseite den Überwachungsdienst Google Analytics ohne die Quellcode-Erweiterung „anonymizeIP“ verwenden. Dadurch haben Sie meine genutzte IP-Adresse 134.3.*****, bei der es sich um ein geschütztes personenbezogenes Datum handelt, ohne meine Erlaubnis in Echtzeit an Google übermittelt. Da die Übermittlung der vollständigen IP-Adresse an die Google Inc. auch nicht erforderlich war, um die Nutzung Ihre Webseite zu ermöglichen, liegt eine Verletzung meines allgemeinen Persönlichkeitsrechts vor. Ich fordere Sie auf, bis spätestens zum 24.03.2018 über die bei Ihnen zu meiner Person gespeicherten Daten Auskunft zu erteilen und die Löschung solcher infolge Ihrer Rechtsverletzung bei Google gespeicherter Daten zu veranlassen und mir dies zu belegen.

    Sie schulden mir aufgrund dieser Rechtsverletzung auch Unterlassung. Zur Beseitigung der für den Unterlassungsanspruch ausschlaggebenden Wiederholungsgefahr fordere ich Sie auf, bis spätestens zum 24.03.2018 eine strafbewehrte Unterlassungserklärung abzugeben, in der sich die **** bei Meidung einer hinreichenden Vertragsstrafe mir gegenüber verpflichtet, meine IP-Adresse künftig nicht mehr in der beschriebenen Weise an die Google Inc. zu übermitteln.

    Die strafbewehrte Unterlassungserklärung senden Sie bitte per Post an meine folgende Adresse:

    Rainer Deyhle
    usw.

    Habe die IP Adresse inzwischen Verschlüsselt.
    Frage: Ist zu reagieren und wenn ja wie?

  5. Ich habe das Schreiben auch erhalten (Bis jetzt nur per Email)! Ich bitte um schnelle Info, wie man sich verhalten soll! Vielen Dank schon mal vorab!

  6. Auch bei mir trudelte es ein – es wird keine Summe genannt, aber eine strafbewehrte Unterlassungserklärung verlangt.

    Reicht hier nicht einfach ein Dreizeiler? „Bezugnehmend auf Ihr Schreiben unterlasse ich künftig die Weitergabe Ihrer IP per Google Analytics“

    Meine Website habe ich entsprechend aktualisiert und den Code Schnipsel eingebunden.

  7. Hallo, Herr Deyhle scheint wieder zum Rundumschlag ausgeholt zu haben – selbige Mail flatterte am 28.03.2018 bei uns ein. Frist wird bis zum 10.04. gesetzt. Wir haben Google Analytics am Folgetag gemäß ihrer Anleitung angepasst (z.B. anonymizeIp).
    Aber, wie müssen die nächsten Schritte aussehen?
    Mfg JS

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.