Nachdem jüngst bereits das OLG Hamburg entschied, dass Verstöße gegen Datenschutzvorschriften des TMG wettbewerbsrechtlich abmahnfähig sind, gibt es nun ein weiteres Urteil hierzu. Das LG Frankfurt am Main befand Verstöße gegen datenschutzrechtliche Normen des TMG beim Einsatz eines Webtracking-Tools für wettbewerbswidrig und damit abmahnbar.
Lesen Sie mehr zu der Entscheidung.
Im Juni 2013 hatte erstmals das OLG Hamburg (Urt. v. 27.6.2013, 3 U 26/12) sich mit der Frage zu beschäftigen, ob Verstöße gegen Datenschutzvorschriften des Telemediengesetzes (TMG) wettbewerbsrechtlich abgemahnt werden können. Das Gericht bejahte dies für das Fehlen eines nach § 13 Abs. 1 TMG erforderlichen Datenschutzhinweises, da dies zugleich ein Verstoß gegen § 4 Nr. 11 UWG darstelle.
Das LG Frankfurt am Main hatte nun im Rahmen eines Eilverfahrens (Urt. v. 18.2.2014, 3-10 O 86/12) darüber zu entscheiden, ob ein Verstoß gegen § 15 Abs. 3 TMG ebenfalls als Verstoß gegen § 4 Nr. 11 UWG abgemahnt werden kann.
Tracking-Tool “Piwik” war Auslöser
Die Antragstellerin sah einen Wettbewerbsverstoß in der Art und Weise der Verwendung des Webtracking-Tools “Piwik” auf der Website der Antragsgegnerin. Der Verstoß sei u.a. durch die Nicht-Einhaltung von datenschutzrechtlichen Vorgaben begründet. Nach Auffassung der Antragstellerin werde
“das Nutzungsverhalten des Anwenders in unzumutbarer Weise analysiert, ohne dass dieser auf sein Widerspruchsrecht hingewiesen würde.”
IP-Anonymisierung war aktiv
Die Antragsgegnerin konnte glaubhaft darlegen, dass sie die Anonymisierungseinstellung von Piwik aktiviert hatte, sodass die letzten beiden Ziffernblöcke der IP-Adresse der Seitenbesucher vor der Verarbeitung zur Erstellung von Statistiken über die Nutzung der Website anonymisiert wurden.
Auch aufgrund dieser einfachen und wirksamen Möglichkeit zur IP-Anonymisierung gilt Piwik als besonders datenschutzfreundlich und wird von Datenschützern empfohlen.
Webtracking erzeugt immer pseudonyme Nutzungsprofile
Trotz wirksamer IP-Anonymisierung sind nach Auffassung des LG Frankfurt beim Einsatz eines solchen Tracking-Tools aber die datenschutzrechtlichen Vorgaben des TMG einzuhalten, da durch das Tool pseudonyme Nutzungsprofile erstellt würden, auf die § 15 Abs. 3 TMG Anwendung finde.
Hinweis auf Widerspruchsmöglichkeit erforderlich
Das Gericht führt weiter aus, dass nach § 15 Abs. 3 Satz 1 TMG der Diensteanbieter zwar für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen dürfe, sofern der Nutzer dem nicht widerspricht. Er hat den Nutzer allerdings im Rahmen der Unterrichtung nach § 13 Abs. 1 TMG auf sein Widerspruchsrecht hinzuweisen.
Die Antragsgegnerin hatte allerdings lediglich unter dem Link “Kontakt”, der von jeder aufgerufenen Seite aus erreichbar war, den Link “Informationen zum Datenschutz” bereitgehalten, hinter dem sich eine Datenschutzerklärung mit Hinweisen auf die Widerspruchsmöglichkeit befand. Ein unmittelbarer Zugriff auf die Datenschutzinformationen war nicht möglich.
Datenschutzerklärung unter “Kontakt” reicht nicht
Nach Auffassung des Gerichts komme die Antragsgegnerin ihrer Hinweispflicht damit nicht in einer den Vorgaben des § 13 Abs. 1 TMG entsprechenden Weise nach, weil der Hinweis nicht zu “Beginn des Nutzungsvorgangs” erfolge und nicht im Sinne der Vorschrift “jederzeit abrufbar” sei.
Die Erreichbarkeit der Datenschutzhinweise bei der Antragsgegnerin sei schon deshalb nicht ausreichend gewesen, da der Nutzer nicht damit rechne, dass sich der Link zu den Datenschutzhinweisen auf der Unterseite “Kontakt” befindet. Es führt dazu aus:
“Weder legt der Begriff “Kontakt” nahe, dass darunter auch Hinweise zum Datenschutz zu finden sind, noch handelt es sich dabei um einen etablierten Ort für die Platzierung entsprechender Informationen.”
Datenschutzerklärung muss wahrnehmbar sein
In Ermangelung von gesetzlichen Regelungen liegt die konkrete Gestaltung der Unterrichtung zwar im Ermessen des Diensteanbieters, dennoch muss sie u.a. klar und zuverlässig wahrnehmbar sein.
“Diesen Anforderungen entspricht beispielsweise eine Einbindung in den Nutzervorgang, indem der Nutzer über eine Website zwangsläufig mit den Informationen in Berührung kommt oder ein deutlich hervorgehobener Hinweis mit einem Hyperlink auf der Startseite vorhanden ist.”
§ 15 Abs. 3 TMG ist Marktverhaltensnorm
Nachdem bereits das OLG Hamburg in seinem Urteil § 13 TMG als Marktverhaltensnorm qualifiziert hatte, sprach sich nun das LG Frankfurt am Main dafür aus, dass dies ebenfalls auf § 15 Abs.3 TMG zutreffe.
“Bei § 15 Abs. 3 TMG handelt es sich schließlich auch um eine Marktverhaltensregel im Sinne des § 4 Nr. 11 UWG. […] Auf dieser Grundlage können Datenschutzvorschriften jedenfalls auch Marktverhaltensregeln sein, wenn sie die Grenzen der Zulässigkeit der Nutzung der Daten für Zwecke der Werbung bestimmen. […]”
Ausgehend von diesem Maßstab sei die Regelung des § 15 Abs. 3 TMG auch dazu bestimmt, im Interesse der Marktteilnehmer das Marktverhalten zu regeln. § 15 Abs. 3 TMG regele den Umgang mit Daten für eigene Geschäftszwecke – einschließlich Werbung – und diene damit jedenfalls auch dem Schutz von Rechtsgütern der Kunden im Zusammenhang mit ihrer Marktteilnahme.
Somit stelle ein Verstoß gegen § 15 Abs. 3 TMG zugleich ein Verstoß gegen § 4 Nr. 11 UWG dar und kann folglich von Wettbewerbern und klagebefugten Verbänden abgemahnt werden.
Fazit und Praxistipp
Der abmahnfähige Wettbewerbsrechtsverstoß war nicht durch den Einsatz des Tracking-Tools Piwik an sich begründet, sondern dadurch, dass auf der Website nicht gemäß der gesetzlichen Vorgaben auf das Web-Tracking und die Widerspruchsmöglichkeit dagegen hingewiesen wurde. Eine rechtskonforme Verwendung von Tracking-Tools bleibt also weiterhin möglich, es sind dabei jedoch die rechtlichen Vorgaben zu beachten, um sich vor Abmahnungen zu schützen.
Unverzichtbar ist hierbei das Vorhandensein einer wirksamen Widerspruchsmöglichkeit gegen das Tracking und ein leicht auffindbarer und jederzeit abrufbarer Hinweis hierauf. Der Hinweis sollte im Rahmen einer Datenschutzerkärung erfolgen, die unter einem eindeutig bezeichneten Link (“Datenschutz” oder “Datenschutzerklärung”) von jeder Seite des Webauftritts abrufbar ist, wie dies schon seit Jahren Prüfpraxis von Trusted Shops ist.
Bedeutet daß, das der Link auf eine Datenschutzerklärung die die nötigen Informationen enthält reicht? Oder muss man womöglich auf jeder Seite Informationsbalken einblenden wenn der Kunde die Seite das erste mal besucht.
Diese Frage interessiert mich auch. Ist ein Link von jeder Seite zur Datenschutzerklärung ausreichend oder muss zusätzlich ein Texthinweis mit Link auf der Startseite oder auf allen Seiten platziert werden?
@llamaz und Anne
Dass zwingend ein Informationsbalken oder besonderer Hinweis auf jeder erstmals besuchten Seite eingeblendet werden muss, gibt die Urteilsbegründung nicht her. Die Erfüllung der Unterrichtungspflicht nach § 13 Abs. 1 TMG mittels eines eindeutig bezeichneten und jederzeit abrufbaren Links wäre wohl ausreichend gewesen. Nicht ausreichend war es hingegen, die Datenschutzinformationen mit der Widerspruchsmöglichkeit erst nach zwei Klicks vorzuhalten, wenn der erste Link “Kontakt” heißt.
Eine Belehrung über die Speichung und Verarbeitung von personenbezogenen Daten ist nicht neu und sollte mittlerweile in jedem Shop selbstverständlich sein.
Allerdings kann ich in keiner der im web verfügbaren Vorlagen einen Hinweis auf ein “Widerspruchsrecht” finden.
Der Kunde wird in der DS-Erklärung über den Umgang mit seinen Daten belehrt. Dann bestellt er oder er lässt es bleiben.
Ein aktives Widerspruchsrecht ist nicht vorgesehen…oder irre ich hier?
Bitte um Aufklärung.
Peter
Wenn ein Kunde widerspricht, wie stellt man ein, dass er nicht getrackt wird?
Danke für den interessanten Artikel.
Die Frage wäre nun noch, ob der Link zwingend “Datenschutzerklärung” heißen muss. Oder ob hier auch der Linktext “Impressum” ausreicht?
Viele Grüße
Ja zeigt wieder das alles ausgenutzt wird um dem Konkurrenten zu schaden. Kein Shop Betreiber kann mit einer IP eine Adresse feststellen. Oder anhand der pseudo Profile Besucher Namen zuordnen. Jeder Server hat log Dateien mit kompletter IP Adresse aller Besucher.
Hier wird nur ein Weg gesucht um anderen Unternehmen zu schaden sonst nix und sowas sollte verboten werden. Um Datenschutz geht es keinen der beteiligten hier
Einerseits kann man sich zwar über soetwas aufregen, andererseits kann man auch sagen, dass es grundsätzlich in Zeiten kompletter Auflösung von Privatspäre und Datenschutz (Stichworte google-krake, Facebook, NSA und und) es richtig ist, Nutzern des Netzes die Möglichkeit zu geben diesem zu widersprechen. Natürlich wollen wir und auch andere Shopbesitzer nichts böses, aber es geht ja auch um die Gesamtphilosophie des Netzes. Nach dem ersten Aufregen habe ich mich wieder beruhigt und habe eine Unterseite der Datenschutzseite erstellt, auf der man das Piwiktracking abstellen kann. Das ist schnell gemacht und wenn ich das Urteil richtig verstanden habe auch rechtskonform.
Wen es interessiert: http://www.baseline-toner.de/custom/index/sCustom/59
@Peter
Werden Besucherstatistiken auf Basis von pseudonymen Nutzungsprofilen aus den Daten der Besucher einer Website erstellt (= Web-Analyse), muss es eine wirksame Widerspruchsmöglichkeit gegen die Profilbildung geben, auf die in der Datenschutzerklärung hinzuweisen ist. Das hat nichts mit der Datenerhebung zur Bestellabwicklung zu tun, sondern betrifft erst mal nur die (automatisierte) Datenerhebung zur Profilbildung beim Besuch der Website.
@Reiner Hagen
Die Linkbezeichnung “Impressum” reicht nach diesem Urteil nicht aus. Es muss aus der Linkbezeichnung eindeutig hervorgehen, dass unter dem Link Informationen zum Datenschutz abrufbar sind. Denkbar wäre daher eine kombinierte Linkbezeichnung, z.B. “Impressum / Datenschutz”. Nur unter der Bezeichnung “Impressum” wird der Seitenbesucher aber keine Datenschutzinformationen erwarten. Ebenso sind Datenschutzinformationen innerhalb der AGB wenig sinnvoll, da diese auch hier niemand erwartet und es sich auch nicht um Willenserklärungen handelt, die einer vertraglichen Vereinbarung bedürfen.
@Christian Weiten
Das müssen Sie den Anbieter Ihres Analyse-Tools fragen.
@Paul
Wenn Website-Besucher einer automatisiert im Hintergrund stattfindenden Profilbildung aus den durch sie generierten Daten widersprechen können müssen, dann hat das schon etwas mit Datenschutz zu tun und ist deshalb auch gesetzlich entsprechend geregelt. Dass Datenschutzverstöße wettbewerbsrechtlich abgemahnt werden, ist möglicherweise auch das Ergebnis eines Vollzugsdefizits bei Datenschutzverstößen aufgrund völlig unterbesetzter Datenschutzaufsichtsbehörden. Als Händler ist es sicher schwer einzusehen, wenn Mitbewerber konsequent gegen Datenschutzvorschriften verstoßen, ohne dafür belangt zu werden, während man selbst sich an die Vorschriften hält. Inwieweit das tatsächlich ein Wettbewerbsnachteil ist, wird abschließend wohl nur durch höchstrichterliche Rechtsprechung geklärt werden können.