Viele Unternehmen fragen sich oft zurecht, ob die für die Unternehmenswebsite verwendeten Webanalyse-Lösungen, sei es in Form der Beauftragung eines Webhosters, der die Webanalysesoftware gleich mit zur Verfügung stellt und administriert, oder durch Verwendung eines vom Drittanbieter erworbenen Softwarepakets mit integriertem Analysetool datenschutzkonform sind. Zu recht sorgen sie sich um eine Haftung, sollten Webhoster und Analysetool nicht die geltenden Datenschutzvorgaben erfüllen.
Der Inhalt im Überblick
- Wieso ist eine Haftung aus Datenschutzrecht möglich?
- Wer haftet für mögliche Datenschutzverstöße?
- Haftet der Diensteanbieter bei Beauftragung eines Webhosters?
- Muss Software eine datenschutzkonforme Verwendung ermöglichen?
- Was tun, wenn Datenschutzeinstellungen fehlen?
- Haften auch (IT-)Mitarbeiter eines Diensteanbieters?
- Wie werden Google Analytics und Piwik datenschutzkonform eingesetzt?
Wieso ist eine Haftung aus Datenschutzrecht möglich?
Es stellt sich die Frage nach der Haftung für etwaige Verstöße gegen das Datenschutzrecht im Rahmen der Verwendung von Webanalysediensten. In diesem Zusammenhang ist immer wieder darauf hinzuweisen, dass die IP-Adressen, welche in die Analyse einbezogen werden, als personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG gelten, weswegen die datenschutzrechtlichen Vorschriften zu beachten sind.
Im Bereich der Telemedien (z.B. Webshops) gelten zudem die besonderen Datenschutzvorschriften des Telemediengesetzes.
Wer haftet für mögliche Datenschutzverstöße?
In erster Linie haftet der Diensteanbieter im Sinne des § 2 Nr. 1 TMG (z.B. Websitebetreiber), der personenbezogene Daten im Rahmen einer Webanalyse mittels eines Analysetools erhebt und verarbeitet, um für sich entsprechende Informationen zu generieren. Dabei hat er selbstverständlich sämtliche geltenden datenschutzrechtlichen Vorschriften zu beachten. Hierzu gehört u.a., die Analysesoftware datenschutzkonform einzusetzen und Dienstenutzer über den Einsatz sämtlicher verwendeter Analysetools zu informieren. Hinsichtlich der Informationspflichten beim Einsatz von Analysetools verweisen wir auf diesen Beitrag.
Haftet der Diensteanbieter bei Beauftragung eines Webhosters?
Die Pflicht zur Beachtung der Datenschutzvorschriften und eine mögliche Haftung bei Verstößen trifft den Diensteanbieter nicht nur bei der eigenen unmittelbaren Datenerhebung und -verarbeitung, sondern auch, wenn die Datenerhebung und -verarbeitung durch andere Stellen (z.B. Webhoster als externer Dienstleister) weisungsgebunden im Auftrag des Diensteanbieters vorgenommen wird, z.B. indem der Webhoster Analysesoftware zur Verfügung stellt, diese zugleich im Auftrag des Diensteanbieters administriert und die Webanalyse für den Diensteanbieter durchführt. Ist der Webhoster weisungsgebunden für den Diensteanbieter tätig, fungiert er als sog. Auftragnehmer im Rahmen der Auftragsdatenverarbeitung im Sinne des § 11 BDSG.
Die datenschutzrechtliche Verantwortlichkeit und damit Haftung für etwaige Verstöße obliegt dementsprechend dem Diensteanbieter. Dieser muss sämtliche Voraussetzungen für eine datenschutzkonforme Erhebung und Verarbeitung von personenbezogenen Daten erfüllen (§§ 12, 13 und 15 TMG als datenschutzrechtliche Spezialvorschriften im Bereich der Telemedien oder im Übrigen § 4 Abs. 1 BDSG sowie die technischen und organisatorischen Maßnahmen treffen, die zum Schutz personenbezogener Daten erforderlich sind, insbesondere die in der Anlage zu § 9 S. 1 BDSG genannten Anforderungen gewährleisten.
Beim Einsatz von Dienstleistern hat der Diensteanbieter gegenüber Auftragnehmern Weisungen zur Einhaltung der Datenschutzvorgaben zu erteilen und deren Einhaltung regelmäßig zu kontrollieren.
Muss Software eine datenschutzkonforme Verwendung ermöglichen?
Eine Webanalysesoftware, ob nun separat oder in einem Programmpaket, sollte zumindest eine datenschutzkonforme Verwendung für den Anwender (z.B. Websitebetreiber) ermöglichen. Wünschenswert wäre, dass bereits die Default-Einstellungen den Datenschutzanforderungen genügen. Überwiegend ist dies jedoch nicht der Fall, so dass der Anwender gehalten ist, möglichst vorhandene Einstellungen zur Gewährleistung des Datenschutzes zu wählen, z.B. durch Einsatz eines AnonymizeIP-Plugin. Damit wird nach jüngster Rechtssprechung des LG Frankfurt (Urteil vom 18.02.2014, Az.: 3-10 O 86/12) eine Pseudonymisierung von IP-Adressen erreicht.
Was tun, wenn Datenschutzeinstellungen fehlen?
Sofern Tools nicht datenschutzkonform eingesetzt werden können, weil entsprechende Einstellungsmöglichkeiten nicht vorhanden sin, wird vom Einsatz solch einer Software und ggf. Beauftragung von datenschutzrechtlich nicht sensiblen Dienstleistern abgeraten. Wie oben erwähnt, haftet in erster Linie die verantwortliche Stelle. Ob dann im Fall einer Haftung ein Rückgriff auf z.B. Anbieter von Blog- und Seitenangeboten inkl. Analysetools möglich ist, hängt unter anderem auch von der Solvenz solcher Anbieter ab. Unabhängig davon bleibt ein möglicher Imageschaden aber bei der verantwortlichen Stelle hängen.
Haften auch (IT-)Mitarbeiter eines Diensteanbieters?
Maßgeblich ist das Verhältnis zwischen Diensteanbieter und (IT-)Mitarbeitern. Ähnlich des Admin C besteht nach Rechtssprechung des Bundesgerichtshofs eine Haftung gegenüber Dritten nicht ohne weiteres. Als Beschäftigte können sie sich aber bußgeldpflichtig machen. In einem Fall, in welchem eine Mitarbeiterin in einem Unternehmen Datenschutzverstöße verübt hatte, hat die bayerische Datenschutzaufsichtsbehörde ein Bußgeld gegen die Mitarbeiterin persönlich verhängt.
Wie werden Google Analytics und Piwik datenschutzkonform eingesetzt?
Wie Analysetools datenschutzkonform eingesetzt werden können, haben wir hier für Google Analytics mit Ergänzung und hier für Piwik zusammengefasst.
Vielen, vielen Dank, für diesen ausführlichen Beitrag!
Nun erschließt sich allerdings die Frage: woran erkenne ich, ob mein Webhoster eine datenschutzkonforme Webanalyse-Lösung anbietet?
Gilt die Auswertung/Darstellung der Logdateien bereits als Webanalyse? Da brauch ich doch dann auch keine Anonymisierung, oder?
Wenn ich das Telemediengesetz richtig interpretiere, brauch ich Anonymisierung, Widerspruchsrecht und opt-out-cookie erst, wenn Nutzungsprofile erstellt werden. Woran erkenne ich Nutzungsprofile? Wenn ich Besucherströme verfolgen kann oder sehe, dass alle Besucher zwischen 8 und 11 Uhr auf einer spezifischen Webseite waren, also die Logdaten- verbunden werden?
viele Grüße
Katja
Hallo nochmals,
mittlerweile hatte ich ein längeres Gespräch mit einem Datenschutzbeauftragten des Landes. Der gab mir den klaren Tipp, beim Provider anzufragen, ob in der Besucheranalyse die Punkte aus dem Beschluss des Düsseldorfer Kreises vom November 2009 zur Reichweitenmessung umgesetzt sind. An der Antwort kann ich erkennen, ob die Besucheranalyse datenschutzkonform nutzbar ist oder nicht.
Grundsätzlich: sind in der Besucheranalyse vollständige IPs herauslesbar, ist sie nicht datenschutzkonform. Also ist eine Anonymisierung der IP-Adressen immer erforderlich, wenn die Logfiles für die Besucheranalyse verwendet werden.
Das Thema mit den Nutzungsprofilen hatte mich verwirrt…
Viele Grüße
Katja
@Katja – 1. Kommentar:
Um festzustellen, ob der Webhoster eine datenschutzkonforme Webanalyse-Lösung verwendet, empfiehlt sich die Prüfung durch den betrieblichen Datenschutzbeauftragten der verantwortlichen Stelle im Rahmen einer sog. Vorabkontrolle, in welcher die technischen und rechtlichen Aspekte bezüglich der Datenschutzkonformität des Webanalysetools geprüft werden. Die Stelle, die einen Webhoster beauftragt, ist datenschutzrechtlich verantwortlich und muss daher am besten vor Einsatz des Tools eine entsprechende Prüfung vornehmen.
Die Webanalyse mittels gesammelter Daten dient der Auswertung des Nutzerverhaltens zwecks Optimierung der Website, wobei z.B. untersucht wird, von welcher Website ein Besucher kommt, welche Bereiche er auf der Website besucht sowie Häufigkeit und Verweildauer auch auf Unterseiten. Dies wird typischerweise mittels IP-Adresse des Nutzerrechners realisiert. Es kommt also darauf an, welche Daten die Logdateien beinhalten, also ob personenbezogene Daten im Sinne des § 3 Abs. 1 BDSG enthalten sind.
Nutzungsdaten sind solche personenbezogenen Daten, die erforderlich sind, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. § 15 Abs. 1 Satz 2 Nr. 1-3 TMG enthält katalogartig Beispiele. Nutzungsdaten sind also sämtliche Informationen, die bei der Interaktion zwischen Nutzer und Anbieter während und durch die Dienstenutzung notwendigerweise entstehen (vgl. Spindler/Schuster, Recht der elektronischen Medien, § 15, Rn. 2).
Nutzungsdaten dürfen grundsätzlich nur erhoben werden, wenn diese erforderlich sind um eine Inanspruchnahme von Telemedien zu ermöglichen oder abzurechnen, was wiederum von der konkreten Diensterbringung abhängt (§ 15 Abs. 1 S. 1 TMG).
Gemäß § 15 Abs. 2 TMG darf der Diensteanbieter Nutzungsdaten eines Nutzers über die Inanspruchnahme verschiedener Telemedien aber per se nur zusammenführen, soweit dies für Abrechnungszwecke mit dem Nutzer erforderlich ist.
Darüber hinaus, darf der Diensteanbieter gemäß § 15 Abs. 3 TMG für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile nur bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Dabei ist zu berücksichtigen, dass die vollständige IP-Adresse ein personenbezogenes Datum und kein Pseudonym darstellt. Die Verwendung der vollen IP-Adresse ist daher nur in den beiden o.g. Fällen zulässig (Gewährleistung der Inanspruchnahme oder Abrechnung). Der Diensteanbieter hat den Nutzer im Falle von pseudonymisierten Nutzungsprofilen auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.