Datenschutz/Online Marketing

Der Schwerpunktbereich „Datenschutz/Online Marketing“ befasst sich branchenübergreifend mit datenschutzrechtlichen Fragen, die im Rahmen von Werbe- und Vertriebsmaßnahmen – insbesondere im digitalen Bereich – auftreten.

In der Praxis müssen z. B. Webseitenbetreiber verschiedene datenschutzrechtliche Vorgaben im Rahmen von Werbe- und Vertriebsmaßnahmen beachten. Speziell im Onlinebereich gibt es eine Vielzahl von Erfordernissen, die Webseitenbetreiber im Auge behalten müssen. Die nachfolgende Aufzählung ist hierbei nur beispielhaft.

Datenschutzerklärung

Unternehmen stellen sich oftmals die Frage, ob sie überhaupt eine Datenschutzerklärung benötigen bzw. fragen danach, welchen Inhalt eine Datenschutzerklärung haben muss.

Eine Datenschutzerklärung ist erforderlich, soweit – beispielsweise beim Betrieb einer Homepage oder eines Onlineshops – personenbezogene Daten erhoben und verarbeitet werden.

Die konkrete Ausgestaltung der Datenschutzerklärung hängt im Wesentlichen von den durchgeführten Datenerhebungs- und Datenverarbeitungsprozessen ab. Es ist erforderlich, die Datenschutzerklärung von sonstigen Erklärungen (wie beispielsweise dem Impressum) zu trennen und diese klar und eindeutig zu bezeichnen.

Social Plugins

Plugins sind Zusatzprogramme, die beispielsweise - auf einer Webseite eingebaut - erweiterte Funktionen ermöglichen.

Häufig genutzt werden Plugins um eine Webseite mit sozialen Netzwerken, wie z.B. Facebook oder Twitter, zu verbinden und mit deren Funktionen auszustatten. Besonders bekannt und beliebt sind der „Gefällt mir“-Button oder das Kommentar-Plugin.

Durch die Einbindung des Plugins auf einer Webseite können Webseite und Social Media Präsenz je nach Ausgestaltungen über einen Datenaustausch „miteinander sprechen“:

Denn Social Plugins (oder Social Media Plugins) funktionieren oftmals dergestalt, dass der Browser des Nutzers bereits bei Aufruf einer Webseite eine direkte Verbindung zu den Servern des jeweiligen Social Media Anbieters herstellt. Hierbei können die Daten des Nutzers von dem fremden Server erfasst werden. So erhalten in der Regel die jeweiligen Social-Media-Plattformen verschiedentliche Informationen über den Nutzer und können u. a. die Möglichkeit haben, das Surfverhalten zu analysieren oder aufgrund von Informationen, die auf der Webseite gewonnen werden, Werbung weiter zu personalisieren.

Aufgrund dieser Gestaltungsoptionen stellen sich beim Einsatz von Social Media Plugins datenschutzrechtliche Fragen, mit denen sich auch schon der Europäische Gerichtshof beschäftigt hat.

Ausgangspunkt war ein Rechtsstreit zwischen der Verbraucherzentrale NRW und dem Unternehmen Fashion ID GmbH & Co. KG. Dieses wurde 2015 abgemahnt und aufgefordert, die Einbettung des „Gefällt mir“-Buttons zu unterlassen, ohne eine entsprechende Einwilligung der Nutzer in die Datenverarbeitung einzuholen bzw. diese zuvor über die Datenverarbeitung zu informieren. Mit Urteil vom 09.03.2016 (Az.: 12 O 151/15) entschied das LG Düsseldorf, dass das „Gefällt mir“-Plugin des sozialen Netzwerks Facebook nicht auf einer Webseite integriert werden darf, ohne dass die Nutzer vor der dadurch veranlassten Datenerhebung und –verwendung über diese aufgeklärt werden, in diese eingewilligt haben, und über die jederzeitige Widerruflichkeit der Einwilligung informiert sind. Im Rahmen der Berufung des beklagten Unternehmens, das das Plugin auf seiner Webseite eingebunden hatte, hat das OLG Düsseldorf das Verfahren ausgesetzt und dem EuGH Fragen zur Auslegung der früheren Datenschutzrichtlinie (95/46/EG) vorgelegt (Beschluss v. 19.01.2017, Az. I-20 U 40/16), wobei es u. a. um dem Begriff des „Verantwortlichen“ ging.

Wichtig ist der Begriff der Verantwortlichkeit im Datenschutz deshalb, weil sich an diese auch gewisse Pflichten anknüpfen. Welche Pflichten obliegen also dem Webseiten-Betreiber, der ein Plugin einbindet? Oder ist das jeweilige soziale Netzwerk verantwortlich?

Der Generalanwalt hat am 19.12.2018 seine Schlussanträge zu den Vorlagefragen des OLG Düsseldorf gestellt. Er sah für die Phase der Datenverarbeitung, an der der Webseiten-Betreiber auch tatsächlich beteiligt ist, eine datenschutzrechtliche Mitverantwortlichkeit des Webseiten-Betreibers (vgl. News der Wettbewerbszentrale vom 20.12.2018 >>).

Der EuGH hat daran anschließend mit Urteil vom 29.07.2019 entschieden, dass der Betreiber einer Webseite, auf der das Social Plugin „Gefällt mir“ von Facebook eingebunden ist, für das Erheben von personenbezogenen Daten und deren Weitergabe durch Übermittlung an die Plattform datenschutzrechtlich mitverantwortlich sein kann (Rs. C 40/17). Diese Verantwortlichkeit sei aber auf die Vorgänge beschränkt, für die der Webseiten-Betreiber auch tatsächlich über die Zwecke und Mittel der Datenverarbeitung (hier konkret: Erhebung und Übermittlung) entscheide (vgl. News der Wettbewerbszentrale vom 30.07.2019 >>).

Beim Einsatz von Social Media Plugins sind daher die Datenverarbeitungsvorgänge mit ihren Konsequenzen und Anforderungen rechtlich sehr genau zu überprüfen, damit Verstöße gegen Datenschutzrecht vermieden werden können.

Erhebung, Verarbeitung und Nutzung von Daten

Die Verarbeitung von Daten (z. B. das Erheben, die Speicherung oder die Verwendung) ist nur zulässig bzw. rechtmäßig, soweit dies durch Gesetz erlaubt ist oder der Betroffene eingewilligt hat. Soweit Unternehmen planen, Werbemaßnahmen durchzuführen, bei deren Durchführung personenbezogene Daten verarbeitet werden, ist dies häufig nur mit Einwilligung der jeweiligen Betroffenen möglich.

An die Ausgestaltung einer zulässigen Einwilligungserklärung sind hohe Voraussetzungen geknüpft. Eine Einwilligung ist gemäß Art. 4 Nr. 11 DS-GVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Weitere Anforderungen (z. B. Hinweis auf Widerrufbarkeit, einfache Unterscheidbarkeit von anderen Sachverhalten beim Einholen der Einwilligung) stellt Art. 7 DS-GVO.

Das Schriftformerfordernis einer Einwilligung aus dem alten Bundesdatenschutzgesetz besteht mit der Anwendung der Datenschutz-Grundverordnung nicht weiter, jedoch bleibt die Nachweispflicht für den Verantwortlichen über das Vorliegen einer Einwilligung (Art. 7 Abs. 1 DS-GVO). Der Betroffene ist darauf hinzuweisen, dass und wie er der Verarbeitung oder Nutzung seiner Daten für Zwecke der Werbung widersprechen bzw. seine Einwilligung widerrufen kann.

Gestaltung von Apps

„App“ ist eine Abkürzung für den Fachbegriff Applikation und bezeichnet eine Anwendungssoftware für Mobilgeräte beziehungsweise mobile Betriebssysteme. Bei allen Schritten der App-Entwicklung sind datenschutzrechtliche Vorgaben zu beachten.

Ganz allgemein lässt sich sagen, dass auch bei einer App ein Impressum und eine Datenschutzerklärung zu integrieren sind. Eine Information über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten muss bereits vor Beginn des Nutzungsvorgangs erfolgen, so dass die Datenschutzerklärung bereits im App Store oder zumindest vor dem Start der App zum Abruf bereitgehalten werden muss. Die Datenschutzerklärung muss auch während der Nutzung der App jederzeit abrufbar sein.

Online Marketing

Im Bereich des Online Marketings stellen sich in der Praxis immer wieder Fragen zur Zulässigkeit von Werbemaßnahmen, wie z.B. bei der Werbung in sozialen Netzwerken, dem Suchmaschinenmarketing oder dem Affiliate-Marketing.

Zurück zum Anfang >>

Im Frühjahr 2016 hat das Europäische Parlament die Datenschutz-Grundverordnung (DS-GVO) beschlossen, die nach einer Übergangsfrist von zwei Jahren ab dem 25. Mai 2018 anwendbar ist und das bisher geltende Datenschutzrecht ersetzt hat (vgl. News der Wettbewerbszentrale vom 25.05.2018: Datenschutz-Grundverordnung findet ab heute Anwendung – Wettbewerbszentrale hält bei Rechtsdurchsetzung ein Vorgehen mit Augenmaß für erforderlich >>). Ergänzt und konkretisiert wird die DS-GVO vom Bundesdatenschutzgesetz in der Fassung vom 30.06.2017 (BDSG n.F.).

Bereichsspezifische Regelungen befinden sich zusätzlich im Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) und im 10. Sozialgesetzbuch (SGB X), wobei das Verhältnis der einzelnen Vorschriften im Hinblick auf deren Anwendbarkeit unter Geltung der DS-GVO umstritten ist.

Das Online-Marketing umfasst alle Marketing-Maßnahmen, die mithilfe des Internets umgesetzt werden. Rechtlich handelt es sich hierbei um eine Querschnittsmaterie. Die Rechtsgrundlagen können variieren, sind aber in der Regel im Bürgerlichen Gesetzbuch (BGB), im Gesetz gegen unlauteren Wettbewerb (UWG) oder in der Datenschutz-Grundverordnung zu finden.

Die EU-Datenschutzgrundverordnung (DS-GVO) ist eine Verordnung der Europäischen Union, durch die eine Neuordnung und Vereinheitlichung des europäischen Datenschutzes erreicht werden soll. Die DS-GVO ist am 14. April 2016 durch das EU-Parlament beschlossen worden. Sie ist ab dem 25. Mai 2018 anwendbar und gilt ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedstaaten. Den Mitgliedstaaten wird es daher außerhalb der in der Verordnung vorgesehenen Öffnungsklauseln nicht möglich sein, den von der Verordnung festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken.

Sinn und Zweck der DS-GVO ist es, den Bürgern eine bessere Kontrolle ihrer personenbezogenen Daten zu ermöglichen. Gleichzeitig soll es Unternehmen aufgrund einheitlicher Regeln leichter gemacht werden, die Chancen des digitalen Binnenmarktes besser zu nutzen.

Die folgenden Regelungen werden auch in der Praxis wichtig werden und sind daher besonders beachtenswert:

Personenbezogene Daten sind auf Verlangen eines Betroffenen zu löschen, wenn einer der folgenden Gründe zutrifft:

Praktisch bedeutet dies, dass derjenige, der für die Veröffentlichung der Daten verantwortlich ist, unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten vertretbare Schritte unternehmen muss, um die Verantwortlichen, die die Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser Daten verlangt hat.

Das Recht auf Vergessenwerden soll hingegen keine Anwendung finden,

Zurück zum Anfang >>

Datenportabilität ist das Recht, die eigenen Daten von einem Ort oder Dienst zu einem anderen zu bewegen. Unternehmen sind künftig verpflichtet, die ihnen anvertrauten personenbezogenen Daten „in einem strukturierten, gängigen und maschinenlesbaren Format“ direkt an den Betroffenen oder einen Dritten zu übermitteln.

Diese Regelung dient primär dem Zweck, sogenannte „Lock-in“-Effekte und damit die starke Anbindung an einen Anbieter zu verringern und das Selbstbestimmungsrecht des Betroffenen über seine Daten zu stärken. Für Betroffene soll es leichter werden, Profile bei sozialen Netzwerken oder E-Mail-Konten zu anderen Anbietern zu übertragen.

Zurück zum Anfang >>

Eine Neuerung bietet die DS-GVO im Bereich der Einwilligung von Minderjährigen. Gemäß Art. 8 Abs. 1 DS-GVO wird die Einwilligung eines Minderjährigen in die Datenverarbeitung grundsätzlich nur wirksam, wenn er das 16. Lebensjahr vollendet hat. Für die rechtmäßige Nutzung der Daten von unter 16-Jährigen bedarf es in Zukunft der ausdrücklichen Genehmigung des gesetzlichen Vertreters. Die maßgebliche Altersgrenze von 16 Jahren gilt allerdings nur, soweit ein Mitgliedsstaat nicht eine geringere Altersgrenze vorsieht, wobei die absolute Untergrenze von 13 Lebensjahren nicht unterschritten werden darf.

Zurück zum Anfang >>

Durch Art. 25 DS-GVO wird das Konzept des Datenschutzes durch Technik (privacy by design) und datenschutzfreundlicher Voreinstellungen (privacy by default) umgesetzt.

Für die Datenverarbeitung Verantwortliche müssen ihre Dienste demnach datensparsam konzipieren und Voreinstellungen wählen, aufgrund derer nur die für den jeweiligen Zweck erforderlichen Daten verarbeitet werden. Praktisch bedeutet dies, dass beispielsweise eine auf dem Smartphone installierte Taschenlampen-App nicht auf Daten aus dem Adressbuch zugreifen darf.

Zurück zum Anfang >>

Der „One Stop Shop“-Ansatz bedeutet, dass sich Unternehmen und Bürger EU-weit nur noch an eine Datenschutzbehörde als Ansprechpartnerin wenden müssen.

Bürger können ihre Beschwerden an die Datenschutzbehörde in ihrem Mitgliedstaat richten. Für Unternehmen gilt, dass bei grenzüberschreitenden Datenverarbeitungen in der EU – z.B. durch verschiedene Niederlassungen oder Tochtergesellschaften – grundsätzlich nur die Aufsichtsbehörde am Sitz der Hauptniederlassung des Unternehmens federführend zuständig und einziger Ansprechpartner ist.

Zurück zum Anfang >>

Art. 83 DS-GVO enthält unionsweit einheitliche sowie gegenüber dem deutschen Recht erheblich verschärfte Sanktionen. Hiernach können bei Verstößen Geldbußen von bis zu 20 000 000 Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.

Zurück zum Anfang >>