CREDICON Abmahnung wegen Google Analytics – Das ist zu beachten

News

Seit einigen Wochen erhalten eine Vielzahl von Webseitenbetreibern Abmahnschreiben der englischen CREDICON Ltd. aus London wegen angeblicher Verletzungen des Persönlichkeitsrechts durch die Nutzung von Google Analytics ohne Anonymisierungstag. Die dort benannten Forderungen sollten jedoch nicht vorschnell beglichen werden.

Was ist passiert?

In dem uns vorliegenden Schreiben behauptet der Geschäftsführer des Unternehmens, Rainer Deyhle, in seinen Persönlichkeitsrechten verletzt worden zu sein. Konkret hätten die Webseitenbetreiber das Analysetool Google Analytics eingesetzt, die so ermittelten IP-Adressen der Nutzer jedoch nicht anonymisiert. Der Nutzer würde darüber auch nicht informiert.

Dabei wird Bezug genommen auf ein nicht näher benanntes BGH-Urteil und andere „allgemeine Erkenntnisse und Gerichtsurteile“, nach denen dies eine abmahnfähige Rechtsverletzung darstellen soll.

Auf die Androhung, die Angelegenheit an einen Rechtsanwalt abzugeben, folgt das Angebot, diese gegen eine Einmalzahlung in Höhe von 248,00 EUR auf sich beruhen zu lassen. Andernfalls würden sich die Kosten auf exakt 1.100,00 EUR belaufen. Dies sei das einzige Vergleichsangebot. Im Übrigen würden weitere Abmahnungen erfolgen, sollte der Verstoß nicht behoben werden.

Da der Streitwert 20.000,00 EUR betrage, handele es sich bei der geforderten Summe um einen „kostengünstigen Hinweis“. Berechtigte Einwände könnten unter der angegebenen Faxnummer mitgeteilt werden. Unberechtigte Einwände hingegen führten zur sofortigen Abgabe der Sache an die besagte Anwaltskanzlei. Für unverbindliche Rückfragen findet sich in dem Schreiben eine „Servicenummer“, über die man für 2,99 EUR pro Minute Näheres erfahren könne.

Sind die Forderungen ernst zu nehmen?

Zunächst ist festzustellen, dass das Schreiben der CREDICON Ltd. einiges durcheinander wirft und auch die rechtliche Argumentation in sich nicht schlüssig ist.

So ist zum jetzigen Zeitpunkt keinesfalls klar, ob dynamische IP-Adressen für sich genommen immer personenbezogene Daten darstellen. Hierzu gibt es zahlreiche, sich teils widersprechende, Gerichtsurteile. Die Frage beschäftigt daher zurzeit auch den BGH. Eine klarstellende Entscheidung steht aber zum jetzigen Zeitpunkt noch aus.

Aus dem vorliegenden Schreiben geht zudem nicht eindeutig hervor, wer hier eine Persönlichkeitsrechtsverletzung geltend machen möchte. Das Schreiben stammt von der CREDICON Ltd., einem Unternehmen mit Sitz in der 196 High Road, London. Dabei ist keineswegs klar, ob Unternehmen in diesem speziellen Fall ein sogenanntes „Unternehmenspersönlichkeitsrecht“ zukommt. Aber auch ein Rechtsanspruch des Unterzeichners, Rainer Deyhle, steht nicht fest. Nicht jedem vermeintlich Betroffenen steht ein Unterlassungsanspruch zu wegen Verletzungen deutscher Datenschutzvorschriften. Es ist also ebenso unklar, wer Inhaber des behaupteten Unterlassungsanspruchs sein soll als auch, ob ein eigener oder fremder Anspruch geltend gemacht werden soll.

Ein entsprechender Anspruch müsste im Falle einer Klage jedenfalls vom Anspruchsteller begründet werden. Dabei wäre zu beweisen, dass und welche Daten an Google übertragen und dass mit der Übertragung datenschutzrechtliche Bestimmungen verletzt werden. Dies erscheint im vorliegenden Fall äußerst schwierig. Ein Screenshot des Seitenquelltextes jedenfalls, wie er dem Schreiben anhängt, ist dazu nicht ausreichend.

CREDICON Ltd. ist bereits für ihre Abmahnschreiben bekannt

Online findet sich – außer in Verbindung mit den vorgenannten Abmahnvorwürfen – kein weiterer Hinweis auf das Unternehmen.

Die Zwielichtigkeit der Abmahnschreiben der CREDICON Ltd. ergibt sich nicht zuletzt aus dem englischen Handelsregister. Danach handelt es sich bei der Gesellschaft um eine sogenannte „dormant company“ (stille Gesellschaft). Dies sind in der Regel Gesellschaften, die ihren Geschäftsbetrieb noch nicht oder nicht mehr ausüben (dürfen). So ist auch bei der im März 2012 gegründeten CREDICON Ltd. keine Geschäftstätigkeit festzustellen. Die Gesellschaft hatte seit ihrer Gründung insgesamt vier Geschäftsführer und verfügt seither über ein Gesellschaftsvermögen von lediglich 100 Pfund. Interessant ist zudem, dass die „Abmahnungen“ im Februar 2017 – etwa zwei Wochen nach Bestellung von Rainer Deyhle als Geschäftsführer –  ihren Anfang genommen haben.

Waren in früheren Abmahnungen der CREDICON Ltd. noch konkrete Gerichtsurteile bezeichnet, die den behaupteten Anspruch untermauern sollten, fehlt ein solcher Hinweis in dem uns vorliegendem Dokument. Aus gutem Grund: Die zuvor in Bezug genommene einstweilige Verfügung des Landgerichts Hamburg ist mit der angeblichen Rechtsverletzung nicht im Ansatz vergleichbar. Weder wurde dort eine tatsächliche Verletzung des Persönlichkeitsrechts festgestellt, noch war die Frage der fehlenden Anonymisierung von IP-Adressen dort Gegenstand des Verfahrens. Einzig der festgesetzte Streitwert von 20.000,00 EUR findet sich – wohl zur Einschüchterung – auch in den neueren Abmahnungen. Auch im Unklaren bleibt, auf welches Urteil des BGH sich der Verfasser bezieht.

Was ist jetzt zu unternehmen?

Grundsätzlich ist davon abzuraten, der Zahlungsaufforderung vorschnell nachzukommen. Es besteht der Verdacht, dass der Anspruchsteller sich mit den Voraussetzungen seiner Behauptung selbst nicht im Detail auseinandergesetzt hat und nun versucht, mit zahlreichen Abmahnungen an schnelles Geld zu kommen. Auch der untypische Verweis auf einen Faxanschluss in England und die Angabe einer kostenpflichten „Servicenummer“ legen den Schluss nahe, dass es sich hier um unseriöse Geschäftspraktiken handelt.

In jedem Fall sollten Sie jedoch prüfen, ob eine Verletzung datenschutzrechtlicher Vorschriften tatsächlich vorliegen könnte. Um letztlich rechtlich auch zukünftig auf der sicheren Seite zu sein, gilt Folgendes: Werden in Ihrem Unternehmen Analysetools wie Google Analytics eingesetzt, ist es auf jeden Fall ratsam, die letzten 8 Bit der zu übermittelnden IP-Adressen zu anonymisieren. Im Übrigen sollte sichergestellt werden, dass Ihre Datenschutzerklärung auch den Einsatz entsprechender Softwares erfasst. Entsprechende Hinweise finden Sie in unserem Beitrag Google Analytics datenschutzkonform einsetzen.

Allein eine Verletzung solcher Vorgaben begründet aber noch keinen Anspruch auf Zahlung einer „außergerichtlichen Entschädigung“, wie es das Schreiben der CREDICON Ltd. nahelegt.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonformer Einsatz von Webanalyse-Tools, wie z.B. Google Analytics und Piwik
  • Prüfung und Gestaltung der Datenschutzerklärung auf Ihrer Website
  • Erstellung und Anpassung erforderlicher datenschutzrechtlicher Vereinbarungen

Informieren Sie sich hier über unser Leistungsspektrum: Webanalyse und Datenschutz

4 Kommentare zu diesem Beitrag

  1. Egal welche Ziele die CREDICON Ltd. nun tatsächlich verfolg: Nehmen wir das als dankbar als großartigen Motivator an, sich mit seinem betrieblichen Datenschutz auseinander zu setzen und ggf. einen externen DSB zur Unterstützung zu bestellen. Solche und andere Ereignisse sind leider notwendig, um die „es passiert doch eh nichts“-Fraktion zum Einlenken zu bewegen. Manche interessieren sich halt nicht für Betroffenenrechte und benötigen dann halt solche und hoffentlich noch viele weitere Motivationen.

    • Das ist sicherlich ein nachvollziehbarer Gedanke. Nach unseren Erfahrungen herrscht gerade im Datenschutz häufig eine große Rechtsunsicherheit. Dieser sollte mit entsprechend geschulten Datenschutzbeauftragten begegnet werden, um gerade auch solchen dubiosen Praktiken wirksam vorbeugen zu können.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.