Abmahnung

Der böse Datenschutz mal wieder. Ups, ist ja doch das UWG (Gesetz gegen den unlauteren Wettbewerb)!

von Sascha Kuhrau
17. Februar 2023

Nicht erst seit Mai 2018 und dem Wirksamwerden der DSGVO hörte man das Jammern verschiedener Werbetreibender, man dürfe ja eigentlich gar keine Werbung mehr machen wegen dieses blöden Datenschutzes. Oder noch fatalistischer: “Dann kann ich meinen Vertrieb gleich entlassen und den Laden dichtmachen!”. Gut. Das kann man so sehen, ist aber halt unrichtig 🙂

Wenn man jede Art von gesetzlichem Verbot in den großen und bei den meisten auch undefinierten Sammeltopf Datenschutz wirft, dann mag dieser Trugschluss nahe liegen. Schließlich ist Datenschutz auch am schlechten Wetter schuld oder daran, dass verunfallte Menschen auf der Straße liegen bleiben müssen und weder vom Notarzt noch dem Krankenhaus nach Einlieferung behandelt werden können, “weil Datenschutz” — wie sich ein Vertreter der medizinischen Lobby-Zunft letztes Jahr heftig daneben geäußert hat. Kann man alles so sehen, ist aber halt am Ende doch falsch. Während man die erste Aussage noch humorvoll sportlich nehmen kann, zeugt die zweite Aussage — wie viele andere zum Thema Datenschutz — von einem hohen Maß von Unkenntnis oder schlimmer von beabsichtigter Ignoranz der Sachlage. Doch zurück zum vermeintlichen Werbeverbot durch den bösen Datenschutz.

Relevanter Sidekick: Das Gesetz gegen den unlauteren Wettbewerb, kurz UWG

Da gibt es seit einigen Jahren ein Gesetz mit dem Ziel, Mitbewerber von Unternehmen, die Verbraucher (“Betroffene” im Sinne des Datenschutzes) und die Allgemeinheit (Dreigliedrigkeit des Schutzzweckes) vor einer ungerechten Wettbewerbsverzerrung beispielsweise durch irreführende Werbung zu schützen. Newcomer im Werbebereich mögen nun dem Irrglauben anheimfallen, das UWG gäbe es erst seit der Entstehung sozialer Netzwerke oder — deutlich früher — dem Zeitpunkt, als das Medium Email weltweit massentauglich leicht verfügbar und zugänglich wurde (Stichworte “Bin ich schon drin?” und AOL-CD). Aber das UWG hat dann doch noch mal ein paar Jährchen mehr auf dem Buckel. Es datiert auf das Jahr 1896 und wurde seither nach Bedarf immer wieder mal novelliert.

Nun, auch kein Wunder, dass die meisten Gerichte mittlerweile davon ausgehen, dass nach fast 130 Jahren die Inhalte und Sachverhalte des UWG durchaus bei den Werbetreibenden bekannt sein könnten und das auch in ihre Urteile einfließen lassen 🙂 Natürlich zu Lasten derjenigen, die das UWG nicht ganz so ernst nehmen oder mehr für eine Empfehlung halten.

Jetzt ist das UWG, wie jedes andere Gesetz keine einfache Feierabendlektüre (außer für Anwälte und Richter vielleicht). Und von daher macht es durchaus Sinn, sich mit Kommentaren oder aktuellen Gerichtsurteilen auseinanderzusetzen, um die Anforderungen und Wirkweise zu besser zu verstehen. Aber eins lässt sich sofort und für jeden herauslesen: Einfach Werbung [möglichst noch als digitale Massenaussendung] an alle potentiellen Adressaten raushauen, deren Daten man irgendwo im Internet gefunden oder aus alten hausinternen Datenbanken hervorgeklaubt hat, ist eben nicht einfach so möglich bzw. schnell ein Rechtsverstoß. Und es gibt bei allen Werbekanälen wie Telefon, SMS, Fax, Email oder Post einige Fallen, in die gerne immer wieder mal getappt wird. Und ja, das steht im UWG (der Stein des Anstoßes ist dort meist der § 7 UWG). Mitnichten sind die DSGVO oder das BDSG schuld. Sowas aber auch!

“Ja, aber mit der DSGVO wurde das alles noch viel härter geregelt für uns Werbetreibende!”. — “Nochmal: Nö :-)” (Ja, das wird zum Mantra dieses Beitrags)

Bitte beachten Sie, dass wir mit diesem Beitrag einen allgemeinen Überblick geben möchten. Dieser erhebt keinen Anspruch auf Vollständigkeit und stellt auch keine rechtliche Beratung dar. Der Beitrag ersetzt keinesfalls die Beratung durch einen Rechts-/Fachanwalt. Weder für die Richtigkeit noch Vollständigkeit der Angaben können wir daher eine Haftung übernehmen. Eine abschließende Rechtsberatung ist allein der Rechtsanwaltschaft vorbehalten. Und da es im UWG schnell unwitzig und teuer wird, sollten Sie sich stets anwaltlich beraten lassen, bevor das Kind in den Brunnen gefallen ist. Doch schauen wir uns einfach mal ein paar Beispiele an.

Werbung per analoger Briefpost

Fangen wir mit den guten Nachrichten an: Werbung per Briefpost ist grundsätzlich erst mal erlaubt. Ausnahme: Der Empfänger hat Ihnen gegenüber direkt widersprochen oder steht z.B. auf der sog. “Robinsonliste”. Und ja, es gibt ihn noch, den klassischen Brief in Papierform 🙂

Klingeln an der Haustür

Auch die klassischen Vertreterbesuche sind ein möglicher Werbekanal. Ausnahme auch hier: Der zu Besuchende hat sich gegen Besuche generell bzw. gegen zukünftige Besuche gegenüber dem Werbenden ausgesprochen. Und sofern an der Tür bzw. Klingelanlage ein Hinweis der Art “Vertreterbesuche nicht erwünscht” prangt, sollte dieser auch ernst genommen werden. Dabei kommt es nicht auf den zuvor genannten Wortlaut an. Ist ersichtlich, dass Werbebesuche nicht erwünscht sind, ist das zu respektieren.

Wir haben diesen Hinweis auch schon in Impressumsangaben auf Unternehmenswebseiten gelesen. Sollten Sie Ihr Adressmaterial für die Kaltakquise über diesen Kanal erhoben haben, würden wir eine Beachtung ebenfalls nahelegen.

Das gute alte Telefon

“Na, dann ruf ich dort eben an. Schließlich steht deren Telefonnummer auf der Webseite und / oder im Telefonbuch. Wer nicht angerufen werden will zu Werbezwecken, darf da halt seine Rufnummer nicht veröffentlichen!” — “Kann man so machen, wird aber unangenehm :-)”

So gehört z.B. die Telefonnummer zu den Pflichtangaben im Impressum. Und das sicher nicht, weil der Gesetzgeber damit sicherstellen möchte, dass potentielle Werbetreibende die Rufnummer leichter ausfindig machen können. Nur mal so als Denkanstoß 🙂

Generell gilt erst mal: Werbeanrufe am Telefon sind verboten, außer es liegt vorher (kann man nicht fett genug hervorheben) eine Werbeeinwilligung des Anzurufenden vor. Bitte nicht verwechseln mit der Datenschutz-Einwilligung, auch wenn beides durchaus verknüpft werden kann. Die Betonung liegt hier auf vorher. Es gab nämlich auch schon das eine oder andere Cleverle, dass angerufen hat, um zu fragen, ob man zukünftig zu Werbezwecken anrufen darf. Quasi vorab am Telefon durch einen Anruf die Einwilligung für Telefonwerbung einholen.

Nun, kann man machen, ist aber dann .… Also halten wir einfach kurz fest: “Cold call nix gut”.

Für Unternehmen, die andere Unternehmen zu Werbezwecken anrufen wollen, gibt es jedoch eine kleine Erleichterung. Aber diese ist kein genereller Freibrief und es gilt, die Rahmenbedinungen dafür möglichst konsequent einzuhalten. Die Rede ist von der sog. “mutmaßlichen Einwilligung”, die man als Anrufer erst mal annimmt. Diese ist aber nur denkbar, wenn die beworbenen Produkte und Leistungen dem Kerngeschäft des Angerufenen dienen. In der Rechtsprechung wird dabei meist auch vorausgesetzt, dass vorher bereits irgendein Kontakt bestanden hat. Dies kann durch ein früheres Vertragsgeschäft, aber auch durch einen Kontakt auf einer Messe o.ä. erfolgt sein.

Anruf bei Endverbrauchern? Puh. Sorgen Sie bitte im eigenen Interesse dafür, dass Sie dafür eine korrekte Werbeeinwilligung nachweisen können. Bei dieser Werbeeinwilligung sind bei der zwangsläufigen Nutzung von personenbezogenen Daten dann auch die Anforderungen der DSGVO an eine informierte und freiwillige Einwilligung zu beachten.

“Hah, doch der Datenschutz schuld.” — “Nö.”

Denn in den meisten Fällen scheitert es bereits an den Anforderungen des UWG, bevor in zweiter Stufe mögliche Anforderungen aus Sicht des Datenschutzes zum Tragen kommen. Leider wieder nix mit “Der Datenschutz ist schuld! Not sorry!”

“Und nein, da hat sich durch die DSGVO auch nix geändert. Ja, isso!”

Neben den zuvor genannten Cleverles gibt es aber auch noch die Schlaumis. Die rufen mit unterdrückter Rufnummer an. Mensch, wieso ist da nicht schon mal vorher jemand darauf gekommen? Denn dabei sieht der Angerufene nicht, welche Rufnummer verwendet wurde. So ist man ganz toll versteckt und niemand kommt dem unzulässigen Werbeanrufer auf die Schliche. Für die technisch weniger Versierten: Doch. Denn in den Vermittlungsstellen wird die Nummer des anrufenden Anschlussses doch protokolliert. Nur die Anzeige am Endgerät des Angerufenen wird damit unterdrückt. Man ist dann durchaus mit einem Ordnungsgeld bis zu 300.000 Euro dabei. Okay, auch da gibt es noch weitere Tricks, aber dazu braucht man schon eine gewisse Portion an krimineller Energie.

“Again what learned”.

Ok, wenn Briefpost erlaubt ist, dann mach ich halt Email-Marketing. Da wird ja wohl das selbe gelten.

Oder anders ausgedrückt: “Wir haben ein Bingo”. Nur leider nicht in der vom Werbetreibenden gewünschten Art. Denn laut dem jetzt schon mehrfach zitierten Gesetz gegen unlauteren Wettbewerb darf Werbung per Email nur demjenigen geschickt werden, der dazu ausdrücklich seine Einwilligung erteilt hat. Und diese Einwilligung muss den selben Anforderungen genügen, wie schon zuvor beschrieben. Und dazu jederzeit belegbar sein.

“Na toll, da hat uns die DSGVO ja ganz schön was eingebrockt.” — “Mitnichten. Das regelte das UWG schon zu Zeiten weiter vor der DSGVO so.”

Aber eine kleine Erleichterung gibt es auch hier. Diese Einwilligung kann gemäß § 7 Absatz 3 UWG entfallen, wenn

der Werbetreibende die Email-Adresse im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden erhalten hat UND
er später nur für eigene, ähnliche Waren oder Dienstleistungen wirbt UND
der Kunde der Verwendung nicht widersprochen hat UND
er den Kunden schon bei der ersten Erhebung der Adresse und auch bei jeder Verwendung klar und deutlich darauf hingewiesen hat, dass er der Verwendung jederzeit für die Zukunft widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.”

Dieses UND kann ganz schön nerven, ist aber in dem Zusammenhang echt wichtig. Es müssen nämlich wirklich alle 4 Bedinungen erfüllt sein und nicht nur 1, 2 oder 3 (Grüße von Michael Schanze).

Life hacks

Sinnvollerweise schafft man die Voraussetzungen für spätere Werbeaktionen bereits zum Zeitpunkt des Erstkontakts. Das lässt sich zwar für Altdaten nur schwer rechtskonform nachholen, aber für die Zukunft kann man es ja besser machen. Stichwort “lernende Organisation”.

Auch diese “Wie zufrieden waren Sie mit uns?”-Mails wurden bereits mehrfach gerichtlich als Werbung eingestuft. Charmante Idee. Aber dünnes Eis, diese als Aufhänger zu nehmen.

“Dann machen wir halt Berechtigtes Interesse nach Art. 6 Abs. 1 Buchstabe f DSGVO” rufen die cleveren Oberschlaumis. “Steht ja schließlich so auch in der Orientierungshilfe Direktmarketing der DSK!” Ja, da steht aber auch dabei, dass dies nur für postalische Werbung greifen kann. 😉

Wenn auch aus 2020, so finden Sie in der Präsentation der Kanzlei Dr. Bahr eine leicht verständliche Darstellung relevanter Urteile und deren praktischen Auswirkungen für Werbemaßnahmen. Auch die DSK (Datenschutzkonferenz) hat sich zum Thema Direktmarketing und auch zu den Anforderungen an Werbeeinwilligungen im Datenschutz-Kontext geäußert. Als Orientierungshilfe erst mal nicht verkehrt

Nur weil Sie mal mit jemandem per Email Kontakt hatten, stellt das noch keine wirksame Einwilligung in die Aufnahme Ihres Newsletters dar. “Nein?!” — “Doch” — “Oh”.

Übrigens ist auch die Reaktion eines Autoresponders in der Art “Ich bin dann mal bis zum xx.xx.xxxx nicht im Büro” auf die Frage “Dürfen wir Sie in unseren Email-Verteiler aufnehmen?” keine Zustimmung / Einwilligung 🙂 Alles schon vorgekommen und im Zweifel gerichtlich geklärt.

“Und das alles nur wegen der DSGVO, super!” -> Wir empfehlen, den Artikel noch mal von vorne zu lesen 🙂

Mal in ein paar Urteilen stöbern?

Der geschätzte Martin Rätze hat hier ein Urteil des BGH aus 2009 vorgestellt. Eine einzige Werbemail reicht schon aus für Ungemach. Und wie Christian Solmecke von WBS Law ausführt, hat im selben Jahr ebenfalls der BGH klargestellt, dass eine Email im Impressum keine Werbeeinwilligung darstellt. Wieso man bei Newsletter-Anmeldungen nicht mehr als die Mail-Adresse zum Pflichtfeld machen sollte, erklärt Dr. Martin Schirmbacher in diesem Beitrag. Die Suchmaschinen sind voll von weiteren Urteilen rund um das Thema Werbung. Viel Spaß beim Stöbern.

Kurzes Fazit

Rechtskonforme Werbung ist machbar. Aber möglicherweise ist das nicht ganz so trivial, wie der eine oder andere möglicherweise annimmt. Vieles mag einem als Werbetreibenden auch ungerecht erscheinen. In dem Fall sollte man sich bei all denen bedanken, die es bisher bei Werbung einfach übertrieben haben. Irgendwann reagieren sowohl der Gesetzgeber als auch Gerichte und ziehen die Daumenschrauben enger an. Die vielfältigen Werbe-Möglichkeiten und Kanäle lassen sich auch nicht immer 1:1 abbilden. Dazu gibt es zahlreiche Spezialfälle, Ausnahmen und Besonderheiten. Und ab und zu überholt sich auch der eine oder andere Aspekt schneller, als man es niederschreiben kann. Von daher wenden Sie sich bitte immer an Ihren juristischen Beistand für Werbeangelegenheiten. Fire and forget ist im Kontext von Werbung nicht immer der beste Ansatz, außer Sie haben die Kosten für Abmahnungen etc. bereits von vornherein eingeplant und sind sich sicher, dass die aus der Werbung generierten Zusatzeinnahmen höher sein werden. Damit wird Ihre Werbemaßnahme aber nicht rechtskonform, nur “bezahlt” 😉

Und übrigens: Der Datenschutz ist nicht schuld 🙂 Sorry, das musste sein.

Danke Mailchimp! Abmahnrisiko für deutsche Newsletter-Versender

von Sascha Kuhrau
30. Oktober 2017
4 Kommentare

Vorteile externer Newsletter-Versender / Anbieter

Externer Newsletter-Versender sind ein probates Mittel, um professionelle Newsletter an den Mann bzw. an die Frau zu bringen. Bedienbare Weboberflächen, Gestaltungsvorlagen und automatisierte Nutzerverwaltung sind nur einige der Punkte, die einem Werbetreibenden das Leben erleichtern. Nebenbei verringert die Nutzung eines solchen Dienstes das Risiko eines offenen Newsletter-Verteilers, weil die Empfänger aus Versehen im „An“- oder „Kopie“- statt im „Blindkopie“-Feld eingetragen wurden.

Double opt-in

Es dürfte sich mittlerweile unter allen Versendern von Newslettern herumgesprochen haben: Die Bestätigung und Überprüfung von Newsletter-Empfängern mittels des sog. double opt-in Verfahrens ist in Deutschland Pflicht.

Beim douple opt-in Verfahren bestätigt der Newsletter-Empfänger — zumeist über einen Aktivierungslink in einer Bestätigungsmail — seinen tatsächlichen Wunsch zum Erhalt des Newsletters erneut (daher „double“). Gleichzeitig wird dieser Vorgang mittels Zeitstempeln protokolliert, um die Anmeldung und Aktivierung jederzeit belegen zu können.

Danke Mailchimp

Der auch in Deutschland oft genutzte US Service Mailchimp hat nun von heute auf morgen das Standard-Anmeldeverfahren auf single opt-in umgestellt. Diese Verfahrensweise widerspricht den rechtlichen Anforderungen in Deutschland. Unternehmen in Deutschland, die Mailchimp als externen Newsletter-Versender nutzen, tun gut daran, diese automatisierte Umstellung wieder rückgängig zu machen. Ansonsten drohen Abmahnungen!

Mailchimp begründet diese Vorgehensweise mit dem erhöhten Aufwand für Nutzer, die sich mittels double opt-in für einen Newsletter anmelden müssen. Dies würde die Absprungraten erhöhen. Schlicht: die Maßnahme wird als „Kundenservice“ verkauft, Abmahnrisiko inklusive. Die Umstellung erfolgt automatisch zum 31.12.2017. Nutzer des Service sollten unbedingt manuell wieder auf double opt-in umstellen!

Die Kanzlei LHR weist in einem Beitrag darauf hin, dass Mailchimp zwar als rechtlicher Störer in die Mithaftung genommen werden könnte, das Abmahnrisiko wird hierdurch jedoch weder vermieden noch gesenkt.

Externer Newsletter-Versender ist Auftragsdatenverarbeitung

Die Nutzung eines externen Newsletter-Services wie Mailchimp fällt unter den Anwendungsbereich der sog. Auftragsdatenverarbeitung (BDSG), zukünftig Auftragsverarbeitung (EU DS-GVO). Der Anbieter ist vor der Nutzung sorgfältig auszuwählen, auf vorhandenes Sicherheitsniveau zu prüfen und mit einer Vereinbarung zur Auftragsdatenverarbeitung auszustatten (nicht zu verwechseln mit dem normalen Vertrag für die zu erbringende Leistung). Fehlende oder fehlerhafte Auftragsdatenverarbeitung kann Bußgelder bis 50.000 Euro nach sich ziehen.

Sollten Sie also einen externen Dienst nutzen, so prüfen Sie VORHER, ob die Umsetzungsschritte für eine Auftragsdatenverarbeitung möglich sind und auch durchgeführt werden. Im Zweifel fragen Sie Ihren Datenschutzbeauftragten.

Es gibt übrigens zahlreiche andere Anbieter, die mit dem double opt-in und dem Abmahnrisiko der Nutzer sorgfältiger umgehen, beispielsweise

Beide genannten Anbieter sind deutsche Unternehmen, denen die Verfahrensweisen zur Auftragsdatenverarbeitung bekannt sind, die sich mit ihren Services an deutsches Werbe-Recht halten, ihre Daten in deutschen Rechenzentren hosten und über aktive, kompetente Datenschutzbeauftragte verfügen. Ihre Kunden sollten Ihnen das wert sein!

Der Hype um das (private) Whatsapp-Abmahnrisiko

von Sascha Kuhrau
28. Juni 2017
1 Kommentar

Kaum hat das Amtsgericht Bad Hersfeld sein Urteil gefällt und die Begründung veröffentlicht, grassiert ein medialer Hype um ein angebliches Abmahnrisiko für private Whatsapp-Nutzer durch das Netz. Doch was steckt dahinter?

Etwas Aufklärung zur privaten Nutzung von Whatsapp

Das Amtsgericht Bad Hersfeld, wohlgemerkt ein Amtsgericht, sieht auf Basis des § 823 BGB sowie des § 1004 BGB das Risiko eines privaten Whatsapp-Nutzers, aufgrund der nicht eingewilligten Datenübermittlung der Kontakte in dessen Adressbuch durch den automatisierten Abgleich mit den Whatsapp-Servern durch die Kontakte selbst auf Unterlassung in Anspruch genommen zu werden. Selbst eine kostenpflichtige Abmahnung wird nicht ausgeschlossen. Kaum war die erste Nachricht hierzu im Web lanciert, ging der Copy & Paste — Mechanismus des Boulevardjournalismus inklusive der sozialen Netzwerke los. Angst und Panik für Quote und Klicks lautet die Devise.

Was davon zu halten ist, können Sie unter anderem im Blog des Anwalts Dr. Carsten Ulbricht nachlesen, der zu diesem Thema kein Unbekannter ist.

Whatsapp und geschäftliche oder dienstliche Nutzung?

Nutzt ein Unternehmen oder eine Behörde nun Whatsapp sieht die Rechtslage etwas unbequemer aus. Das Bundesdatenschutzgesetz schreibt für die betriebliche Nutzung personenbezogener Daten die Auswahl geeigneter technischer und organisatorischer Schutzmaßnahmen vor. Bedient man sich bei der Umsetzung eines Dritten (in diesem Fall des Betreibers von Whatsapp), so ist dieser nach § 11 Bundesdatenschutzgesetz (BDSG), aber auch nach EU-Datenschutzrecht vorab auf ausreichende Schutzmaßnahmen zu prüfen und zusätzlich eine Vereinbarung zur Auftragsdatenverarbeitung zu schließen. Die Umsetzung wird sich in der Praxis als unmöglich herausstellen.

Zumindest könnte man Whatsapp aufgrund der nun seit einiger Zeit aktivierten Ende-zu-Ende-Verschlüsselung bei den technischen Schutzmaßnahmen ein technisches Schutzniveau im positiven Sinne unterstellen. Ein Mitlesen der Nachrichten auf dem Transportweg ist dadurch ja ausgeschlossen.

Dann steht der betrieblichen Nutzung ja nichts im Wege?

Leider doch. Denn Whatsapp überträgt die Kontaktdaten aus dem Adressbuch des Geräts auf die Server des Betreibers in den USA. Diese Datenübermittlung ist im Datenschutzrecht nur zulässig, wenn von dem Betroffenen, auf den sich die jeweiligen Kontaktdaten beziehen, eine (schriftliche) Einwilligung vorliegt. Diese kann nach geltender Meinung auch nicht pauschal angenommen werden nach dem Motto “Whatsapp nutzt ja heutzutage jeder.”

Eine fehlende Einwilligung bedeutet eine unrechtmäßige Datenübermittlung. Damit drohen Bußgelder und im Zweifel weitere Auflagen durch die Landesdatenschutzbehörde(n).

Dies gilt übrigens sowohl für die betriebliche / dienstliche Nutzung des Smartphones als auch eine möglicherweise zulässige Privatnutzung.

Wer es nicht glauben mag, hier ein Beitrag unter vielen zu diesem Thema, in diesem Fall von Dr. Hans Markus Wulf, Fachanwalt für IT-Recht.

Von daher kann das Fazit zur Whatsapp-Nutzung im geschäftlichen oder behördlichen Umfeld nur lauten: Finger weg! Aber das ist nun auch nichts Neues.

Abmahnung für den Einsatz von Google Analytics

von Sascha Kuhrau
29. März 2016
1 Kommentar

Google Analytics als Webtracking- und Analyse-Tool ist bei Webmastern recht beliebt. Eine aus Datenschutzsicht beanstandungsfreie Umsetzung ist seit geraumer Zeit möglich. Dabei gilt es jedoch, einiges zu beachten. Wer sich darum nicht kümmert, kann zukünftig vom Wettbewerb dazu mit rechtlichen Mitteln — im Zweifel mittels Abmahnung — gezwungen werden.

In einer einstweiligen Verfügung des Landgerichts Hamburg vom 10.03.2016 mit dem Aktenzeichen 312 O 127/16 untersagt das Gericht dem Betreiber einer Webseite den Einsatz von Google Analytics aufgrund fehlender Hinweise auf den Einsatz, beispielweise im Rahmen der Datenschutzerklärung. Das Landgericht Hamburg droht dem Webseitenbetreiber für den Fall der Zuwiderhandlung gegen diese Anordnung ein Ordnungsgeld von bis zu 250.000 Euro an (als Ersatz Ordnungshaft bis zu 6 Monaten).

Nicht eindeutig geklärt ist bisher, ob § 13 Absatz 1 Satz 1 Telemediengesetz (TMG) Grundlage für eine Abmahnung sein kann. Das Oberlandesgericht (OLG) München hat 2012 diesen Sachverhalt verneint. Dem entgegen hat das OLG Hamburg in 2013 die Abmahnfähigkeit bestätigt.

Wer demnach zur Zeit Abmahnung und weiteres Ungemach wegen des Einsatzes von Google Analytics vermeiden will, tut gut daran, die Empfehlungen aus 2011 für die Einführung und Nutzung von Google Analytics als Webtracking- und Analyse-Tool umzusetzen:

Abschluss einer Regelung zur Auftragsdatenverarbeitung nach § 11 BDSG. Eine gemeinsam erarbeitete Vorlage samt Anleitung finden Sie unter www.google.com/analytics/terms/de.pdf oder Sie suchen bei google.de nach „analytics +tos.pdf“.
Detaillierte Formulierung der Nutzung in der Datenschutzerklärung Ihrer Webseite zusammen mit dem Hinweis auf die Widerspruchsmöglichkeit durch das Google Tool „gaoptaut“ inkl. Downloadlink.
Aktivierung der anonymizeIP-Funktion (Achtung: hierfür ist ein gesonderter Tracking-Code notwendig!)
Löschen ALLER bisher zu Unrecht erhobenen Daten

Viel Erfolg beim datenschutzkonformen Einsatz von Google Analytics. Wer es unkomplizierter mag, setzt auf das Open Source Tool PIWIK, wie in unserem Blogbeitrag beschrieben.

Na dann werben wir mal

von Sascha Kuhrau
13. Februar 2014
1 Kommentar

Einen Satz, den ich in der Praxis gelegentlich zu hören bekomme — oder zumindest auf die dahinterstehende Grundhaltung bei Werbemaßnahmen oft aufgrund Unkenntnis stoße. Adreßdaten liegen zuhauf im Unternehmen vor, Quelle und zulässiger Einsatzzweck nicht zwingend bekannt. Unterscheidungsmerkmale zwischen Privat- oder Geschäftsadressen ad hoc nicht möglich, eine Klassifizierung ob personenbezogen oder nicht liegt nicht vor.

Nach dem Prinzip “Augen zu und durch” werden solche Datenbestände der internen oder externen Werbemaschinerie zugeführt. Die Quittung(en) liegen meist schnell auf dem Tisch. Beschwerden telefonisch oder per Email von “privaten” Betroffenen, Anfragen der zuständigen Landesdatenschutzbehörde aufgrund dort eingegangener Beschwerden und wenn nebem dem BDSG (Bundesdatenschutzgesetz) auch das UWG (Gesetz gegen den unlauteren Wettbewerb) betroffen ist, kostspielege Abmahnungen als Folge.

Die Crux an Werbung ist, es gilt nicht nur eines, sondern gleich mehrere Gesetze zu prüfen und einzuhalten. Und nicht immer sind die Abgrenzungen klar, was wie wo gilt je nach Art der Aussendung und des zu bewerbenden Angesprochenen. Diesem Umstand trägt der Düsseldorfer Kreis (als Zentralorgan der Landesdatenschutzbehörden) mit seiner Veröffentlichung mit Stand Dezember 2013 Rechnung

“Anwendungshinweise der Datenschutzaufsichtsbehörden zur Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten für werbliche Zwecke”

Das zwölfseitige Dokument kann als PDF heruntergeladen werden und ist das Ergebnis einer Arbeitsgruppe “Werbung und Adresshandel”, die das Bayerische Landesamt für Datenschutzaufsicht betreut hat. Im Fokus steht die praktische Umsetzung des § 28 BDSG.

Neben Hinweisen zur Definition und zum Umgang mit Listendaten wird auch der Aspekt beleuchtet, wie zu verfahren ist, wenn im Rahmen von B2B Werbung personenbezogene Daten angesprochen werden sollen. Das Thema Freundschaftswerbung wird kritisch beleuchtet (und abschließend mit fehlender datenschutzrechtlicher Grundlage bewertet), aber auch die notwendige Einwilligung wird präzisiert, sogar im Hinblick auf ihr Verfallsdatum.

Download der Anwendungshinweise im PDF Format (externer Link)

Facebook — heißes Pflaster für Unternehmen und Gewerbetreibende

von Sascha Kuhrau
25. Januar 2013

Facebook hat seinen Sitz, wie die meisten Anbieter sozialer Netzwerke, außerhalb von Deutschland oder des europäischen Rechtsraums. Der Firmensitz in den USA hat rechtlich für die Betreiber einige Vorteile. Nicht von ungefähr gelten die USA als nichtsicher, was Datenschutz angeht. Dies wirkt sich schnell auf die Praxis aus. Wer hat für den Firmenauftritt in Facebook nicht schon mal vergeblich ein passendes und rechtkonformes Feld für das Impressum gesucht? Doch jetzt kommt ein neues Risiko für gewerbliche Betreiber von Auftritten in sozialen Netzwerken hinzu.

Facebook generiert für geteilte Inhalte ein „Thumbnail“ – ein kleines Vorschaubildchen – und schmückt den Eintrag auf der Pinnwand mit dieser Miniaturvorschau.

Sieht schick aus! Spricht an! Ist brandgefährlich!

Eine Berliner Rechtsanwaltskanzlei hat einen gewerblichen Facebook-Betreiber abgemahnt. Grund: auf seiner Pinnwand fand sich die Minivorschau eines urheberrechtlich geschützten Bildes. Das gelangte aufgrund der vielfach genutzten „Teilen“-Funktion an diesen Platz. Die Urheberrechtsinhaberin, eine Fotografin, verlangte die sofortige Entfernung, die Abgabe einer strafbewehrten Unterlassungserklärung und zusätzlich Schadensersatz in Höhe von 1.200 Euro. Hinzu kommen noch die Anwaltsgebühren in Höhe von 546 Euro.

Der Rechtsvertreter des abgemahnten Unternehmens bejaht den Rechtsverstoß, der in diesem Falle nicht abgestritten werden kann. An der Höhe der Forderung äußerte er jedoch Zweifel. Nichtsdestotrotz wird ein entsprechender Betrag zu zahlen sein.

Unsere Tipps:

„Teilen“ Sie immer ohne Miniaturbild
Bilden Sie zur Sicherheit eine Rückstellung für Abmahnungen und die Abwehr solcher Risiken. Es ist praktisch kaum möglich, soziale Netzwerke und Medien zu nutzen, ohne Urheberrechtsverstöße zu begehen
Besuchen Sie eines unserer Seminare „Social Media für Unternehmen — Chancen und Risiken im Web 2.0“ und sichern Sie Ihr Unternehmen gegen zahlreiche Risiken von vornherein ab

Tipp: Facebook Unternehmensseiten mit Impressum ausstatten (Impressumspflicht)

von Sascha Kuhrau
21. Mai 2012

Die Abmahnindustrie hat neues Futter — Unternehmensauftritte bei Facebook ohne Impressum! Wie jeder andere gewerbliche Webauftritt muss auch die moderne Facebook Fanpage über ein rechtssicheres Impressum verfügen, es besteht Impressumspflicht. Urteile und Kommentare hierzu gibt es zuhauf — der geneigte Leser mag die Suchfunktionen einschlägiger Suchmaschinen bemühen.

Eine einfache und recht schnelle Form der Umsetzung stelle ich hier kurz vor. Erstellen Sie in wenigen Schritten ein Impressum für Ihre Facebook Fanpage.

Schritt 1: Einloggen in Facebook

Schritt 2: Suche nach “static iframe tab” und Auswahl der Anwendung (Mausklick). Gelegentlich führt die Suche keinen Treffer auf, dann verwenden Sie bitte den Suchbegriff “Woobox”

Schritt 3: Install Page Tab (alternativ Install 2nd Tab, wenn schon andere Tabs mit diesem Tool eingerichtet wurden)

Schritt 4: Seite auswählen, zur der dieser Tab hinzugefügt werden soll

Schritt 5: Hier ist der neue Tab schon sichtbar, diesen nun anklicken und im Folgefenster die Anwendung autorisieren

Schritt 6: Die Frage im nächsten Fenster noch bestätigen und es erscheint das Konfigurationsfenster. Hier tragen Sie nun (am besten den Editor rechts über dem Eingabefenster aktivieren oder als HTML-Code) Ihren Impressumstext ein und vergeben unter Tab Name (den Eintrag “Welcome” löschen) “Impressum” ein. Danach noch “Save settings” betätigen und auf der Folgeseiten die Anfrage bestätigen. Und fertig ist das Impressum!

Hilfreiche Links

Wollen Sie die Risiken aus dem Bundesdatenschutzgesetz für Ihr Unternehmen minimieren? Eine passende Lösung finden Sie sicher in unserem Leistungsangebot.
Unsicher, ob für Ihr Unternehmen die gesetzliche Bestellpflicht für einen (externen) Datenschutzbeauftragten vorliegt? Die Antwort gibt unser Datenschutz-Quick-Check, siehe Leistungen.
Sie wollen eine unabhängige Prüfung, wie gut es um Datenschutz und Datensicherheit in Ihrem Unternehmen bestellt ist? Kein Problem mit unseren Leistungen.
Schulungsbedarf für Ihre Mitarbeiter? Zusätzliche Trainings und Workshops rund um Datenschutz und Datensicherheit? Erfahren Sie mehr über unsere Schulungen und Seminare.
Anleitungen, Ratgeber und Links, die das tägliche Arbeiten erleichtern und helfen können, Datenpannen zu vermeiden, finden Sie in der Rubrik Anleitungen / Ratgeber.

Ist Ihr Webauftritt datenschutzkonform? Mit Sicherheit mit dem Zertifikat a.s.k. websecure

von Sascha Kuhrau
12. März 2012

Kaum ein Unternehmen kommt ohne Webauftritt aus heutzutage. Der Auftritt im World Wide Web ist zu mehr herangewachsen als die ursprüngliche digitale Visitenkarte. Mit zahlreichen Funktionen wird um die Gunst der Besucher gebuhlt. Newsletter, Kontaktformulare, Stellenausschreibungen, Gewinnspiele, Social Media, Datenschutzerklärung oder auch das Impressum haben naturgemäß ihre Tücken und bergen das Risiko von Abmahnungen und Bußgeldern. Präsentieren Sie Ihren Webseiten-Besuchern das Datenschutz-Zertifikat a.s.k. websecure und demonstrieren damit den datenschutzkonformen Umgang mit personenbezogenen Daten Ihrer Webseite.

Und so einfach kommen Sie zum Ziel:

Schicken Sie uns mit dem untenstehenden Formular die URL Ihrer Webseite und Ihre Kontaktdaten. Sie erhalten zeitnah Ihr Angebot.
Nach Auftragsvergabe folgt ein umfangreicher Check Ihres Webauftritts. Im Anschluß liegt Ihnen ein detaillierter Ergebnis- und Maßnahmenbericht vor.
Jetzt gilt es für Sie, die identifizierten Schwachstellen zu beseitigen.
Nach positiver Nachprüfung erhalten Sie das Datenschutz-Zertifikat a.s.k. websecure.

Die Prüfpunkte

Impressum
Datenschutzerklärung (Umfang und Inhalt)
Webtracking Umsetzung
Newsletter Umsetzung
Online-Buchungen / Kontaktformulare
Stellenangebote online
Social Media Integration / Umsetzung
Zulässigkeit der Datenerhebun
Content Management System (CMS)

a.s.k. websecure

Das Datenschutz-Zertifikat a.s.k. websecure hat eine Gültigkeit von 12 Monaten und kann nach entsprechender Nachprüfung verlängert werden.

Interesse? Dann einfach Formular ausfüllen — wir melden uns mit einem Angebot bei Ihnen und machen Ihren Webauftritt sicher.

[vfb id=8]

2‑Klick-Lösung: Alternative zum Facebook “Gefällt mir”- / Like-Button datenschutzkonform?

von Sascha Kuhrau
20. Dezember 2011
6 Kommentare

Der gestrige Blogbeitrag Facebooks “Gefällt mir” / “Like” nun bundesweit unter Beschuss vom 19.12.2011 hat auf Xing.de die Frage aufgeworfen, wie denn Datenschutzverstöße beim Einsatz von social plugins wie dem “Gefällt mir”- / “Like”-Button von Facebook vermieden werden können. Die Antwort ist recht simpel: zur Zeit eigentlich nur durch den Verzicht auf den Einsatz dieser Plugins.

Da diese Möglichkeit mit fortschreitender Vernetzung und den sich aus sozialen Netzwerken bietenden Umsatzpotentialen für Unternehmen nicht sehr befriedigend ist, wird fleissig an Alternativen gearbeitet, programmiert und argumentiert. Allen voran steht hier zur Zeit die sog. 2‑Klick-Lösung. Diese wird von zahlreichen Seiten und Unternehmen in verschiedenen Ausprägungen umgesetzt und propagiert. Ein recht bekannter Vertreter ist der heise Verlag, u.a. Herausgeber des professionellen Computermagazins c’t.

Kritik am Facebook “Gefällt mir”-Button

Die übliche Einbindung des Facebook “Gefällt mir” — Buttons steht aus mehreren Gründen unter Beschuss der Datenschutzbehörden. Das beginnt bei der Erstellung von Benutzerprofilen, unabhängig von einer Anmeldung bei Facebook, geht über die Übermittlung personenbezogener Daten an ein nicht-sicheres Land wie die USA und hört bei der fehlenden Einwilligung des Webseitenbesuchers vor der ganzen Erfassung und Übertragung noch lange nicht auf. Wer hier tiefer in das Thema einsteigen will:

Was ist die 2‑Klick-Lösung?

Bei der alternativ diskutierten 2‑Klick-Lösung wird zuerst lediglich eine Grafik des Like-Buttons angezeigt, die selbst noch keine aktiven Funktionen enthält. Erst ein Klick auf diese Grafik löst die Kontaktaufnahme zu Facebook und die Datenübertragung aus.

Das klingt doch gut

Ja, vom Ansatz her nicht verkehrt. Auch das ULD meint hierzu:

“Die Umsetzung führt zu einer datensparsamen Einbindung von Social Plugins, wie sie auch in der FAQ unter https://www.datenschutzzentrum.de/facebook/ beschrieben ist.”

Jedoch schränkt es diese Lösung zugleich wieder ein:

“Es muss jedoch beachtet werden, dass mittels einer solchen informierten Einwilligung der Nutzerin bzw. des Nutzers nur die Datenübertragung an Facebook auf Veranlassung eines Webseitenbetreibers gerechtfertigt werden kann. Dies ändert nichts daran, dass gegenüber Facebook nach unserer Analyse zurzeit keine wirksame Einwilligung der Nutzerin oder des Nutzers vorliegt.”

Nicht der Weisheit letzter Schluss

Demnach sind die Probleme durch diese 2‑Klick-Lösung nicht vom Tisch. Der Webseitenbetreiber verfügt zwar damit über eine technische Umsetzung, die in punkto Datenschutz eine Verbesserung darstellt, jedoch keine rechtliche Unbedenklichkeitsbescheinigung seitens der Behörden erhält. Es bleibt also nichts anderes übrig, als die aktuellen Diskussionen und Reaktionen aufmerksam weiter zu verfolgen. Den ursprünglichen Facebook Like-Button in unveränderter Form einzusetzen, erscheint wenig empfehlenswert. Jedoch sollte jedem Webseitenbetreiber bewusst sein, dass ein Ersatz durch die 2‑Klick-Lösung ebenfalls keine Rechtssicherheit mit sich bringt.

IST DER 2‑KLICK-BUTTON WIRKLICH DATENSCHUTZKONFORM?
Facebook und Datenschutz: die 2‑Klick-Lösung reicht nicht
Heise präsentiert datenschutzkonforme Lösung für Facebook-Button (?)
Über zwei Klicks zu mehr Datenschutz beim umstrittenen Facebook „Gefällt-mir-Button“

Varianten der 2‑Klick-Lösung

Es gibt zahlreiche Varianten und Abwandlungen der 2‑Klick-Lösung. Beispielhaft seien hier die Lösung von heise und der Anwaltskanzlei Ferner genannt. Für einige Content-Management-Systeme wie WordPress oder Joomla sind weiterhin sofort einsetzbare Addons / Plugins verfügbar.

2‑Klick-Lösung von heise
2‑Klick-Lösung Anwaltskanzlei Ferner

Der Facebook “Like-Button” — Aufregung im Netz

von Sascha Kuhrau
21. März 2011
2 Kommentare

Der Facebook “Like-Button” sorgt für immer mehr Aufregung und kontroverse Diskussion im Web. Teilweise erscheinen die Fronten recht verhärtet. Einerseits werden Aussagen getätigt, wer seine Daten schützen wolle, solle einfach auf das Internet verzichten. Andererseits wird mit der Unvereinbarkeit solche Features mit dem deutschen Datenschutzrecht argumentiert.

Was ist der “Like-Button” überhaupt?

Facebook stellt diesen Button Seitenbetreibern im Internet zu Verfügung. Angemeldete Facebook-User können mit einem einfachen Klick auf “Gefällt mir” ihr Gefallen an der Webseite in ihrem Profil kundtun. Deren Online-Freunde können dies online sehen, neugierig werden und die Seite eventuell auch besuchen. Klicken diese ebenfalls den “Gefällt mir-Button”, dann führt das zu einer (wünschenswerten) Mund-zu-Mund-Propaganda. Aus diesem Grund ist diese Funkion mittlerweile in eine Vielzahl von Webseiten und Blogs integriert.

Wieso nun die Aufregung?

Problematisch an diesem Button und der dahinterstehenden Routine ist, daß hierbei nicht nur die Daten angemeldeter Facebook-Nutzer gesammelt werden, sondern die jedes Besuchers einer Webseite mit einem solchen Button. Facebook könnte diese Informationen z.B. zum Erstellen kompletter Besucher- und Nutzerprofile fremder Webseiten nutzen. Facebook selbst hat sich bisher lt. den Betreibern von hamburg.de nicht in befriedigender und rechtlich belastbarer Art und Weise zu der Erhebung, Nutzung und Verarbeitung dieser Daten geäußert.

Grund genug für die Betreiber, den “Like-Button” wieder aus dem gesamten Stadtportal zu verbannen. Ein breiter und kontroverser Austausch zu dieser Maßnahme ist im Blog von hamburg.de nachzulesen.

Eine Stellungnahme der Kanzlei Dr. Bahr aus Hamburg beleuchet die rechtlichen Aspekte des Einsatzes solcher Funktionen mit entsprechendem Weitblick, ohne Social Media Tools und Features von vornherein zu verurteilen.

Ein ebenso guter Artikel zur rechtlichen Bewertung von social media plugins von RA Dr. Thomas Helbing. Im Blog von drweb.de findet sich ein ebenso interessanter Beitrag zum Thema.

Update 21.03.2011

Mittlerweile nutzen immer mehr Seiten den Facebook Like Button, darunter auch prominent besuchte Auftritte wie der von Spiegel, Stern und Bild. Auch immer mehr Blogger und Webseitenbetreiber setzen auf diese Möglichkeit, darüber (hoffentlich) mehr Besucher zu generieren. Gerüchte im Web sprechen von einer Versechsfachung der Besucherzahlen dank dieses kleinen “Knopfs”.

Doch nach wie vor sehen Datenschützer und die Datenschutzbehörden das dafür notwendige Skript kritisch. Denn der eigentliche Gewinner ist Facebook. Sammelt die Organisation doch darüber — ganz unabhängig, ob der Button angeklickt wird oder nicht — wertvolle Informationen über das Surfverhalten seiner Benutzer, umfangreiches Mitgliederprofil inklusive.

Die Prüfung, inwieweit die Funktionsweise gegen deutsches Datenschutzrecht verstößt, dauert zur Zeit noch an. Der erste Online-Händler wurde jedoch bereits abgemahnt. Nicht wenige Webseiten versäumen in Ihren Datenschutzerklärungen den ausreichenden Hinweis auf die Nutzung und Folgen dieser Form des Webtrackings. Ebenso fehlt oftmals die Erklärung des sog. Widerrufrechts, also die Möglichkeit, wie sich der Besucher gegen diese Form der Beobachtung und Datenerhebung wehren kann.

Welche Punkte seitens der Datenschutzbehörden alle in der Kritik stehen, können Sie hier nachlesen.

Abmahnung

Rele­van­ter Side­kick: Das Gesetz gegen den unlau­te­ren Wett­be­werb, kurz UWG

Wer­bung per ana­lo­ger Briefpost

Klin­geln an der Haustür

Das gute alte Telefon

Ok, wenn Brief­post erlaubt ist, dann mach ich halt Email-Mar­ke­ting. Da wird ja wohl das sel­be gelten.

Life hacks

Mal in ein paar Urtei­len stöbern?

Kur­zes Fazit

Vor­tei­le exter­ner News­let­ter-Ver­sen­der /​ Anbie­ter

Dou­ble opt-in

Dan­ke Mailchimp

Exter­ner News­let­ter-Ver­sen­der ist Auftragsdatenverarbeitung