aboutpixel.de / Geldfalle © Rainer Sturm

Vor­tei­le exter­ner News­let­ter-Ver­sen­der /​ Anbie­ter

Exter­ner News­let­ter-Ver­sen­der sind ein pro­ba­tes Mit­tel, um pro­fes­sio­nel­le News­let­ter an den Mann bzw. an die Frau zu brin­gen. Bedien­ba­re Web­ober­flä­chen,  Gestal­tungs­vor­la­gen und auto­ma­ti­sier­te Nut­zer­ver­wal­tung sind nur eini­ge der Punk­te, die einem Wer­be­trei­ben­den das Leben erleich­tern. Neben­bei ver­rin­gert die Nut­zung eines sol­chen Diens­tes das Risi­ko eines offe­nen News­let­ter-Ver­tei­lers, weil die Emp­fän­ger aus Ver­se­hen im „An“- oder „Kopie“- statt im „Blindkopie“-Feld ein­ge­tra­gen wurden.

Dou­ble opt-in

Es dürf­te sich mitt­ler­wei­le unter allen Ver­sen­dern von News­let­tern her­um­ge­spro­chen haben: Die Bestä­ti­gung und Über­prü­fung von News­let­ter-Emp­fän­gern mit­tels des sog. dou­ble opt-in Ver­fah­rens ist in Deutsch­land Pflicht.

Beim dou­p­le opt-in Ver­fah­ren bestä­tigt der News­let­ter-Emp­fän­ger — zumeist über einen Akti­vie­rungs­link in einer Bestä­ti­gungs­mail — sei­nen tat­säch­li­chen Wunsch zum Erhalt des News­let­ters erneut (daher „dou­ble“). Gleich­zei­tig wird die­ser Vor­gang mit­tels Zeits­tem­peln pro­to­kol­liert, um die Anmel­dung und Akti­vie­rung jeder­zeit bele­gen zu können.

Dan­ke Mailchimp

Der auch in Deutsch­land oft genutz­te US Ser­vice Mail­chimp hat nun von heu­te auf mor­gen das Stan­dard-Anmel­de­ver­fah­ren auf sin­gle opt-in umge­stellt. Die­se Ver­fah­rens­wei­se wider­spricht den recht­li­chen Anfor­de­run­gen in Deutsch­land. Unter­neh­men in Deutsch­land, die Mail­chimp als exter­nen News­let­ter-Ver­sen­der nut­zen, tun gut dar­an, die­se auto­ma­ti­sier­te Umstel­lung wie­der rück­gän­gig zu machen. Ansons­ten dro­hen Abmahnungen!

Mail­chimp begrün­det die­se Vor­ge­hens­wei­se mit dem erhöh­ten Auf­wand für Nut­zer, die sich mit­tels dou­ble opt-in für einen News­let­ter anmel­den müs­sen. Dies wür­de die Absprung­ra­ten erhö­hen. Schlicht: die Maß­nah­me wird als „Kun­den­ser­vice“ ver­kauft, Abmahn­ri­si­ko inklu­si­ve. Die Umstel­lung erfolgt auto­ma­tisch zum 31.12.2017. Nut­zer des Ser­vice soll­ten unbe­dingt manu­ell wie­der auf dou­ble opt-in umstellen!

Die Kanz­lei LHR weist in einem Bei­trag dar­auf hin, dass Mail­chimp zwar als recht­li­cher Stö­rer in die Mit­haf­tung genom­men wer­den könn­te, das Abmahn­ri­si­ko wird hier­durch jedoch weder ver­mie­den noch gesenkt.

Exter­ner News­let­ter-Ver­sen­der ist Auftragsdatenverarbeitung

Die Nut­zung eines exter­nen News­let­ter-Ser­vices wie Mail­chimp fällt unter den Anwen­dungs­be­reich der sog. Auf­trags­da­ten­ver­ar­bei­tung (BDSG), zukünf­tig Auf­trags­ver­ar­bei­tung (EU DS-GVO). Der Anbie­ter ist vor der Nut­zung sorg­fäl­tig aus­zu­wäh­len, auf vor­han­de­nes Sicher­heits­ni­veau zu prü­fen und mit einer Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung aus­zu­stat­ten (nicht zu ver­wech­seln mit dem nor­ma­len Ver­trag für die zu erbrin­gen­de Leis­tung). Feh­len­de oder feh­ler­haf­te Auf­trags­da­ten­ver­ar­bei­tung kann Buß­gel­der bis 50.000 Euro nach sich ziehen.

Soll­ten Sie also einen exter­nen Dienst nut­zen, so prü­fen Sie VORHER, ob die Umset­zungs­schrit­te für eine Auf­trags­da­ten­ver­ar­bei­tung mög­lich sind und auch durch­ge­führt wer­den. Im Zwei­fel fra­gen Sie Ihren Datenschutzbeauftragten.

Es gibt übri­gens zahl­rei­che ande­re Anbie­ter, die mit dem dou­ble opt-in und dem Abmahn­ri­si­ko der Nut­zer sorg­fäl­ti­ger umge­hen, beispielsweise

Bei­de genann­ten Anbie­ter sind deut­sche Unter­neh­men, denen die Ver­fah­rens­wei­sen zur Auf­trags­da­ten­ver­ar­bei­tung bekannt sind, die sich mit ihren Ser­vices an deut­sches Wer­be-Recht hal­ten, ihre Daten in deut­schen Rechen­zen­tren hos­ten und über akti­ve, kom­pe­ten­te Daten­schutz­be­auf­trag­te ver­fü­gen. Ihre Kun­den soll­ten Ihnen das wert sein!

 

 

Kaum hat das Amts­ge­richt Bad Hers­feld sein Urteil gefällt und die Begrün­dung ver­öf­fent­licht, gras­siert ein media­ler Hype um ein angeb­li­ches Abmahn­ri­si­ko für pri­va­te Whats­app-Nut­zer durch das Netz. Doch was steckt dahinter?

Etwas Auf­klä­rung zur pri­va­ten Nut­zung von Whatsapp

Das Amts­ge­richt Bad Hers­feld, wohl­ge­merkt ein Amts­ge­richt, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risi­ko eines pri­va­ten Whats­app-Nut­zers, auf­grund der nicht ein­ge­wil­lig­ten Daten­über­mitt­lung der Kon­tak­te in des­sen Adress­buch durch den auto­ma­ti­sier­ten Abgleich mit den Whats­app-Ser­vern durch die Kon­tak­te selbst auf Unter­las­sung in Anspruch genom­men zu wer­den. Selbst eine kos­ten­pflich­ti­ge Abmah­nung wird nicht aus­ge­schlos­sen. Kaum war die ers­te Nach­richt hier­zu im Web lan­ciert, ging der Copy & Pas­te — Mecha­nis­mus des Bou­le­vard­jour­na­lis­mus inklu­si­ve der sozia­len Netz­wer­ke los. Angst und Panik für Quo­te und Klicks lau­tet die Devise.

Was davon zu hal­ten ist, kön­nen Sie unter ande­rem im Blog des Anwalts Dr. Cars­ten Ulb­richt nach­le­sen, der zu die­sem The­ma kein Unbe­kann­ter ist.

Whats­app und geschäft­li­che oder dienst­li­che Nutzung?

Nutzt ein Unter­neh­men oder eine Behör­de nun Whats­app sieht die Rechts­la­ge etwas unbe­que­mer aus. Das Bun­des­da­ten­schutz­ge­setz schreibt für die betrieb­li­che Nut­zung per­so­nen­be­zo­ge­ner Daten die Aus­wahl geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Schutz­maß­nah­men vor. Bedient man sich bei der Umset­zung eines Drit­ten (in die­sem Fall des Betrei­bers von Whats­app), so ist die­ser nach § 11 Bun­des­da­ten­schutz­ge­setz (BDSG), aber auch nach EU-Daten­schutz­recht vor­ab auf aus­rei­chen­de Schutz­maß­nah­men zu prü­fen und zusätz­lich eine Ver­ein­ba­rung zur Auf­trags­da­ten­ver­ar­bei­tung zu schlie­ßen. Die Umset­zung wird sich in der Pra­xis als unmög­lich herausstellen.

Zumin­dest könn­te man Whats­app auf­grund der nun seit eini­ger Zeit akti­vier­ten Ende-zu-Ende-Ver­schlüs­se­lung bei den tech­ni­schen Schutz­maß­nah­men ein tech­ni­sches Schutz­ni­veau im posi­ti­ven Sin­ne unter­stel­len. Ein Mit­le­sen der Nach­rich­ten auf dem Trans­port­weg ist dadurch ja ausgeschlossen.

Dann steht der betrieb­li­chen Nut­zung ja nichts im Wege?

Lei­der doch. Denn Whats­app über­trägt die Kon­takt­da­ten aus dem Adress­buch des Geräts auf die Ser­ver des Betrei­bers in den USA. Die­se Daten­über­mitt­lung ist im Daten­schutz­recht nur zuläs­sig, wenn von dem Betrof­fe­nen, auf den sich die jewei­li­gen Kon­takt­da­ten bezie­hen, eine (schrift­li­che) Ein­wil­li­gung vor­liegt. Die­se kann nach gel­ten­der Mei­nung auch nicht pau­schal ange­nom­men wer­den nach dem Mot­to “Whats­app nutzt ja heut­zu­ta­ge jeder.”

Eine feh­len­de Ein­wil­li­gung bedeu­tet eine unrecht­mä­ßi­ge Daten­über­mitt­lung. Damit dro­hen Buß­gel­der und im Zwei­fel wei­te­re Auf­la­gen durch die Landesdatenschutzbehörde(n).

Dies gilt übri­gens sowohl für die betrieb­li­che /​ dienst­li­che Nut­zung des Smart­pho­nes als auch eine mög­li­cher­wei­se zuläs­si­ge Privatnutzung.

Wer es nicht glau­ben mag, hier ein Bei­trag unter vie­len zu die­sem The­ma, in die­sem Fall von Dr. Hans Mar­kus Wulf, Fach­an­walt für IT-Recht.

Von daher kann das Fazit zur Whats­app-Nut­zung im geschäft­li­chen oder behörd­li­chen Umfeld nur lau­ten: Fin­ger weg! Aber das ist nun auch nichts Neues.

Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool ist bei Web­mas­tern recht beliebt. Eine aus Daten­schutz­sicht bean­stan­dungs­freie Umset­zung ist seit gerau­mer Zeit mög­lich. Dabei gilt es jedoch, eini­ges zu beach­ten. Wer sich dar­um nicht küm­mert, kann zukünf­tig vom Wett­be­werb dazu mit recht­li­chen Mit­teln — im Zwei­fel mit­tels Abmah­nung — gezwun­gen werden.

In einer einst­wei­li­gen Ver­fü­gung des Land­ge­richts Ham­burg vom 10.03.2016 mit dem Akten­zei­chen 312 O 127/​16 unter­sagt das Gericht dem Betrei­ber einer Web­sei­te den Ein­satz von Goog­le Ana­ly­tics auf­grund feh­len­der Hin­wei­se auf den Ein­satz, bei­spiel­wei­se im Rah­men der Daten­schutz­er­klä­rung. Das Land­ge­richt Ham­burg droht dem Web­sei­ten­be­trei­ber für den Fall der Zuwi­der­hand­lung gegen die­se Anord­nung ein Ord­nungs­geld von bis zu 250.000 Euro an (als Ersatz Ord­nungs­haft bis zu 6 Monaten).

Nicht ein­deu­tig geklärt ist bis­her, ob § 13 Absatz 1 Satz 1 Tele­me­di­en­ge­setz (TMG) Grund­la­ge für eine Abmah­nung sein kann. Das Ober­lan­des­ge­richt (OLG) Mün­chen hat 2012 die­sen Sach­ver­halt ver­neint. Dem ent­ge­gen hat das OLG Ham­burg in 2013 die Abmahn­fä­hig­keit bestätigt.

Wer dem­nach zur Zeit Abmah­nung und wei­te­res Unge­mach wegen des Ein­sat­zes von Goog­le Ana­ly­tics ver­mei­den will, tut gut dar­an, die Emp­feh­lun­gen aus 2011 für die Ein­füh­rung und Nut­zung von Goog­le Ana­ly­tics als Web­tracking- und Ana­ly­se-Tool umzusetzen:

  1. Abschluss einer Rege­lung zur Auf­trags­da­ten­ver­ar­bei­tung nach § 11 BDSG. Eine gemein­sam erar­bei­te­te Vor­la­ge samt Anlei­tung fin­den Sie unter www​.goog​le​.com/​a​n​a​l​y​t​i​c​s​/​t​e​r​m​s​/​d​e​.​pdf oder Sie suchen bei goog​le​.de nach „ana­ly­tics +tos.pdf“.
  2. Detail­lier­te For­mu­lie­rung der Nut­zung in der Daten­schutz­er­klä­rung Ihrer Web­sei­te zusam­men mit dem Hin­weis auf die Wider­spruchs­mög­lich­keit durch das Goog­le Tool „gaop­taut“ inkl. Down­load­link.
  3. Akti­vie­rung der anony­mi­zeIP-Funk­ti­on (Ach­tung: hier­für ist ein geson­der­ter Tracking-Code notwendig!)
  4. Löschen ALLER bis­her zu Unrecht erho­be­nen Daten

Viel Erfolg beim daten­schutz­kon­for­men Ein­satz von Goog­le Ana­ly­tics. Wer es unkom­pli­zier­ter mag, setzt auf das Open Source Tool PIWIK, wie in unse­rem Blog­bei­trag beschrieben.

Einen Satz, den ich in der Pra­xis gele­gent­lich zu hören bekom­me — oder zumin­dest auf die dahin­ter­ste­hen­de Grund­hal­tung bei Wer­be­maß­nah­men oft auf­grund Unkennt­nis sto­ße. Adreß­da­ten lie­gen zuhauf im Unter­neh­men vor, Quel­le und zuläs­si­ger Ein­satz­zweck nicht zwin­gend bekannt. Unter­schei­dungs­merk­ma­le zwi­schen Pri­vat- oder Geschäfts­adres­sen ad hoc nicht mög­lich, eine Klas­si­fi­zie­rung ob per­so­nen­be­zo­gen oder nicht liegt nicht vor.

Nach dem Prin­zip “Augen zu und durch” wer­den sol­che Daten­be­stän­de der inter­nen oder exter­nen Wer­be­ma­schi­ne­rie zuge­führt. Die Quittung(en) lie­gen meist schnell auf dem Tisch. Beschwer­den tele­fo­nisch oder per Email von “pri­va­ten” Betrof­fe­nen, Anfra­gen der zustän­di­gen Lan­des­da­ten­schutz­be­hör­de auf­grund dort ein­ge­gan­ge­ner Beschwer­den und wenn nebem dem BDSG (Bun­des­da­ten­schutz­ge­setz) auch das UWG (Gesetz gegen den unlau­te­ren Wett­be­werb) betrof­fen ist, kost­spie­le­ge Abmah­nun­gen als Folge.

Die Crux an Wer­bung ist, es gilt nicht nur eines, son­dern gleich meh­re­re Geset­ze zu prü­fen und ein­zu­hal­ten. Und nicht immer sind die Abgren­zun­gen klar, was wie wo gilt je nach Art der Aus­sendung und des zu bewer­ben­den Ange­spro­che­nen. Die­sem Umstand trägt der Düs­sel­dor­fer Kreis (als Zen­tral­or­gan der Lan­des­da­ten­schutz­be­hör­den) mit sei­ner Ver­öf­fent­li­chung mit Stand Dezem­ber 2013 Rechnung

“Anwen­dungs­hin­wei­se der Daten­schutz­auf­sichts­be­hör­den zur Erhe­bung, Ver­ar­bei­tung und Nut­zung von per­so­nen­be­zo­ge­nen Daten für werb­li­che Zwecke”

Das zwölf­sei­ti­ge Doku­ment kann als PDF her­un­ter­ge­la­den wer­den und ist das Ergeb­nis einer Arbeits­grup­pe “Wer­bung und Adress­han­del”, die das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht betreut hat. Im Fokus steht die prak­ti­sche Umset­zung des § 28 BDSG.

Neben Hin­wei­sen zur Defi­ni­ti­on und zum Umgang mit Lis­ten­da­ten wird auch der Aspekt beleuch­tet, wie zu ver­fah­ren ist, wenn im Rah­men von B2B Wer­bung per­so­nen­be­zo­ge­ne Daten ange­spro­chen wer­den sol­len. Das The­ma Freund­schafts­wer­bung wird kri­tisch beleuch­tet (und abschlie­ßend mit feh­len­der daten­schutz­recht­li­cher Grund­la­ge bewer­tet), aber auch die not­wen­di­ge Ein­wil­li­gung wird prä­zi­siert, sogar im Hin­blick auf ihr Verfallsdatum.

 

 

Face­book hat sei­nen Sitz, wie die meis­ten Anbie­ter sozia­ler Netz­wer­ke, außer­halb von Deutsch­land oder des euro­päi­schen Rechts­raums. Der Fir­men­sitz in den USA hat recht­lich für die Betrei­ber eini­ge Vor­tei­le.  Nicht von unge­fähr gel­ten die USA als nicht­si­cher, was Daten­schutz angeht. Dies wirkt sich schnell auf die Pra­xis aus. Wer hat für den Fir­men­auf­tritt in Face­book nicht schon mal ver­geb­lich ein pas­sen­des und recht­kon­for­mes Feld für das Impres­sum gesucht? Doch jetzt kommt ein neu­es Risi­ko für gewerb­li­che Betrei­ber von Auf­trit­ten in sozia­len Netz­wer­ken hinzu.

Face­book gene­riert für geteil­te Inhal­te ein „Thumb­nail“ – ein klei­nes Vor­schau­bild­chen – und schmückt den Ein­trag auf der Pinn­wand mit die­ser Miniaturvorschau.

Sieht schick aus! Spricht an! Ist brandgefährlich!

Eine Ber­li­ner Rechts­an­walts­kanz­lei hat einen gewerb­li­chen Face­book-Betrei­ber abge­mahnt. Grund: auf sei­ner Pinn­wand fand sich die Mini­vor­schau eines urhe­ber­recht­lich geschütz­ten Bil­des. Das gelang­te auf­grund der viel­fach genutz­ten „Teilen“-Funktion an die­sen Platz. Die Urhe­ber­rechts­in­ha­be­rin, eine Foto­gra­fin, ver­lang­te die sofor­ti­ge Ent­fer­nung, die Abga­be einer straf­be­wehr­ten Unter­las­sungs­er­klä­rung und zusätz­lich Scha­dens­er­satz in Höhe von 1.200 Euro. Hin­zu kom­men noch die Anwalts­ge­büh­ren in Höhe von 546 Euro.

Der Rechts­ver­tre­ter des abge­mahn­ten Unter­neh­mens bejaht den Rechts­ver­stoß, der in die­sem Fal­le nicht abge­strit­ten wer­den kann. An der Höhe der For­de­rung äußer­te er jedoch Zwei­fel. Nichts­des­to­trotz wird ein ent­spre­chen­der Betrag zu zah­len sein.

Unse­re Tipps:

  • „Tei­len“ Sie immer ohne Miniaturbild
  • Bil­den Sie zur Sicher­heit eine Rück­stel­lung für Abmah­nun­gen und die Abwehr sol­cher Risi­ken. Es ist prak­tisch kaum mög­lich, sozia­le Netz­wer­ke und Medi­en zu nut­zen, ohne Urhe­ber­rechts­ver­stö­ße zu begehen
  • Besu­chen Sie eines unse­rer Semi­na­re „Social Media für Unter­neh­men — Chan­cen und Risi­ken im Web 2.0“ und sichern Sie Ihr Unter­neh­men gegen zahl­rei­che Risi­ken von vorn­her­ein ab