HackingDie Einführung des Interest Based Advertising von Google führt zu Anpassungsbedarf in den Datenschutzerklärungen von Website-Betreibern, die AdSense nutzen. Die Änderungen sind nicht gravierend, sollten aber nicht auf die leichte Schulter genommen werden.

Lesen Sie mehr zu diesem Thema in einem Gastbeitrag von RA Dr. Schirmbacher.

Googles Interest Based Advertising (IBA) zielt auf die Einblendung von Werbung unter Berücksichtigung der (vermeintlichen) Interessen des jeweiligen Nutzers. Zu diesem Zweck registriert Google, auf welchen Webseiten, die an das Google-Werbenetzwerk angeschlossen sind, der Nutzer gesurft hat und auf welche Anzeigen er in der Vergangenheit klickte. Die einzelnen Seiten werden bestimmten Kategorien zugeordnet.

Nutzer, die in der Vergangenheit häufig auf Automobil-Seiten gesurft sind, werden in Zukunft – auch auf anderen Seiten im Internet – Werbung für Automobile angezeigt bekommen. Der Vorteil für Nutzer und Werbetreibende (und damit auch für Google) liegt auf der Hand.

Datenspeicherung

Die oben genannten Informationen und wohl auch IP-Adressen werden in speziellen Cookies (so genannte DoubleClick- oder DART-Cookies) gespeichert und bei jeder Einblendung von Werbung durch Google ausgewertet. Angeschlossen an das Google-Werbenetzwerk sind eine Vielzahl von Websites, unter anderem alle Seiten, die AdSense-Werbung einsetzen.

Datenschutzerklärung muss angepasst werden

Mit der Einführung des IBA hat Google seine Werbepartner darauf hingewiesen, dass die Datenschutzerklärungen angepasst werden müssten. Eine konkrete Empfehlung hat Google nicht abgegeben. Allerdings wird nun vermehrt berichtet, dass Google dabei sei, Werbeverträge mit AdSense-Kunden zu kündigen, die die Datenschutzerklärung nicht angepasst haben.

Rechtliche Grundlagen

Bevor Webmaster nun hektisch Änderungen an ihrer Datenschutzerklärung vornehmen, lohnt ein Blick auf die rechtlichen Grundlagen. Die Pflicht, eine Erklärung über die Erhebung und Verwendung von Daten in die Website zu integrieren, ergibt sich aus § 13 Abs. 1 Telemediengesetz (TMG).

Danach hat der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu unterrichten.

Dies wirft nun die viel diskutierte Frage auf, ob die von Google erhobenen Daten personenbezogen sind. Nur dann greift die Pflicht aus § 13 Abs. 1 TMG.

Erhebt Google personenbezogene Daten?

Gemäß § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) sind personenbezogene Daten

„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“.

Relative Bestimmbarkeit

Es gibt zwei grundsätzlich verschiedene Auslegungsmöglichkeiten der Vorschrift. Nach der liberaleren Ansicht richtet sich die Bestimmbarkeit nach den Möglichkeiten der Person oder Stelle, die die Daten erhoben hat, den Nutzer zu identifizieren („relative Bestimmbarkeit“).

Dies führt dazu, dass das gleiche Datum für einen Dienstleister Personenbezug haben kann, weil er aus der Information einen Rückschluss auf eine konkrete Person ziehen kann, während das Datum für andere Dienstleister neutral ist, weil sie keine Möglichkeit haben, die dahinterstehende Person zu identifizieren.

Absolute Bestimmbarkeit

Für die alternative Auslegung der Vorschrift im Sinne einer „absoluten Bestimmbarkeit“ genügt die theoretische Möglichkeit einer Identifizierung des Betroffenen, gleich ob das die Mitwirkung eines Dritten, illegale Methoden oder unverhältnismäßigen Aufwand erfordert.

Mit dem Cookie werden keine Daten übertragen, die selbst Personenbezug aufweisen. Vielmehr beschränkt sich die Übertragung, neben den Informationen zu besuchten Seiten, auf eine Kennung, die für Google die Funktion erfüllt, den Nutzer zu identifizieren, ohne dass eine namentliche Deanonymisierung statt findet. Nur der Nutzer selbst verfügt über das zusätzliche Wissen, das eine Verbindung zwischen Kennung und konkretem Nutzer ermöglicht.

Hat es aber allein der Betroffene in der Hand, seine Identität zu offenbaren, besteht für eine absolute Bestimmbarkeit kein Bedürfnis. Damit besteht eine Pflicht, nach § 13 Abs. 1 TMG eine Datenschutzerklärung abzugeben, nicht. Anders ist dies aber, wenn man sich auf den Standpunkt stellt, dass auch IP-Adressen für den Website-Betreiber Personenbezug aufweisen (vgl. hierzu den Beitrag zu Google-Analytics)

Google erstellt Nutzungsprofile

Unabhängig vom Personenbezug bedarf aber jedenfalls die Erstellung von Nutzungsprofilen bei Verwendung von Pseudonymen der Belehrung des Nutzers und eines Hinweises auf ein Widerspruchsrecht des Nutzers (§ 15 Abs. 3 TMG). Aus diesem Grund sollte in der Datenschutzerklärung auf der Website von AdSense-Verwendern nicht nur gesagt werden, welche Daten erhoben werden, sondern auch, dass Drittanbieter bestimmte Informationen in Cookies speichern und zum Zwecke der „Personalisierung“ der Werbung auswerten.

Außerdem bedarf es eines Hinweises darauf, wie der Nutzer diese Verfahrensweise unterbinden kann. Hier sollte es genügen, einen Link auf die entsprechende Website bei Google zu setzen. Man kann natürlich auch selbst erklären, wie die Auswertung des DoubleClick-Cookies verhindert werden kann.

„Computer-Grundrecht“ beachten

Bei der Anlegung von Nutzerprofilen muss zudem berücksichtigen werden, dass das BVerfG in seiner Entscheidung zur Online-Durchsuchung vom 27.02.2008 das „Computer-Grundrecht“ (Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme) geschaffen hat.

Dieses Grundrecht ist auch für die Rechte und Pflichten im privaten Rechtsverkehr von Bedeutung. Aus dem Grundrecht lässt sich ableiten, dass eine Verpflichtung besteht zur Aufklärung des Nutzers über die Datensammlung und zur Schaffung von Möglichkeiten, eine ungewollte Datensammlung zu verhindern.

Fazit

Panikmache ist also nicht angesagt; gleichwohl sollten AdSense-Nutzer ihre Datenschutzerklärung anpassen. Wer bisher ohne Datenschutzerklärung ausgekommen ist, sollte den Anlass nutzen, eine Erklärung über die Verwendung von Daten entwerfen zu lassen.

Über den Autor

RA Dr. Martin Schirmbacher

06_martinschirmbacher_smallMartin Schirmbacher ist Fachanwalt für IT-Recht und seit Jahren in der auf Medien und Technologie spezialisierten Rechtsanwaltskanzlei HÄRTING Rechtsanwälte (www.haerting.de) tätig. Er prüft dort unter anderem Online-Geschäftskonzepte seiner Mandanten und zeigt Wege zur rechtssicheren Ausgestaltung der Geschäftsidee.

Weitere Informationen der Kanzlei HÄRTING:

Lesen Sie hier mehr zum Thema Datenschutz im Online-Shop: