18.02.2014
I. Urteil des OLG Hamburg
Das Oberlandesgericht Hamburg hat mit Urteil vom 27.06.2013 (Az.: 3 U 26/12) entschieden, dass es sich bei § 13 Abs. 1 Telemediengesetz (TMG) um eine Marktverhaltensregel im Sinne von § 4 Nr. 11 des Gesetzes gegen den unlauteren Wettbewerb (UWG) handelt. In der Konsequenz können Verstöße gegen die Informationspflichten des § 13 Abs. 1 TMG von einem Mitbewerber abgemahnt werden.
Als Folge des Urteils ist zu erwarten, dass zukünftig vermehrt Abmahnungen wegen fehlender oder unzureichender Datenschutzhinweise versandt werden. Da § 13 Abs. 1 TMG die Informationspflichten jedoch eher rudimentär regelt, bleibt abzuwarten, wie genau der Inhalt eines Datenschutzhinweises im Streitfall von einem Gericht überprüft wird. Das OLG Hamburg hatte sich hiermit nicht auseinanderzusetzen, da die betreffende Webseite überhaupt keinen Datenschutzhinweis enthielt.
II. Inhalt der Informationspflichten
§ 13 Abs. 1 TMG sieht vor, dass der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über eine Verarbeitung der Daten in Nicht-EU-Staaten in allgemein verständlicher Form zu unterrichten hat. Die Unterrichtung über den Ort der Datenverarbeitung ist entbehrlich, soweit die Datenverarbeitung innerhalb der EU erfolgt.
Der Webseitenbetreiber hat die Besucher seiner Webseite also darüber zu informieren, wenn personenbezogene Daten der Besucher erhoben und verarbeitet werden. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, § 3 Abs. 1 BDSG.
Die Informationspflicht erfasst natürlich in erster Linie den Fall, dass der Besucher auf der Webseite ganz bewusst persönliche Daten eingibt, z.B. indem er ein Kontakt- oder Bestellformular ausfüllt oder einen Newsletter bestellt. Die Informationspflichten betreffen aber auch den Fall, dass von der Webseite automatisch (im Hintergrund) Daten des Besuchers erhoben werden, z.B. beim Einsatz von Tracking-Tools wie Google Analytics oder beim Setzen von Cookies (jedenfalls wenn nachträglich ein Personenbezug hergestellt werden kann, z.B. wenn sich der Nutzer mit seiner Email-Adresse auf der Seite angemeldet hat; bei reinen Session-Cookies, die nach Ablauf der Sitzung automatisch gelöscht werden, wird dies verneint).
Der Inhalt des Datenschutzhinweises muss für den Nutzer jederzeit abrufbar sein. Üblich und ausreichend ist ein leicht auffindbarer Link am oberen oder unteren Rand der Webseite mit der Bezeichnung „Datenschutz“ oder ähnliches, auf dem dann der Hinweis hinterlegt ist. Der Inhalt des Datenschutzhinweises hängt von Art und Umfang der Datenerhebung ab und kann daher stark variieren. Je mehr Daten vom Nutzer erhoben werden, desto ausführlicher sollte der Hinweis ausgestaltet sein. Beim Einsatz von Cookies und Tracking Tools sollte auch darüber genau informiert werden. Nicht ausreichend ist jedenfalls der Satz, dass die Verarbeitung der Nutzerdaten im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgt.
III. Exkurs – Cookies
Überdies sind im Hinblick auf den Einsatz von Cookies die Entwicklungen auf europäischer Ebene zu beachten. Die europäische Datenschutzrichtlinie für elektronische Kommunikation (RL 2009/136/EG, „ePrivacy“ Richtlinie) sieht vor, dass die Speicherung von oder der Zugriff auf Informationen, die bereits im Endgerät eines Nutzers gespeichert sind, einem Webseitenbetreiber nur gestattet ist, wenn der Nutzer auf der Grundlage von klaren und umfassenden Informationen über die Zwecke der Verarbeitung seine Einwilligung hierzu gegeben hat (sog. informierte Einwilligung). Ausgenommen vom Einwilligungserfordernis ist der Einsatz solcher Cookies, die erforderlich sind, damit der gewünschte Dienst vom Nutzer in Anspruch genommen werden kann (z.B. Warenkorb-Cookies im Webshop).
Deutschland hat sich (neben anderen Mitgliedstaaten) jedoch dazu entschlossen, die Richtlinie nicht in nationales Recht umzusetzen, und zwar mit der Begründung, dass die derzeit geltende Fassung des TMG die Vorgaben der Richtlinie bereits ausreichend umsetze. Diese Auffassung hat die Bundesregierung auch in ihrer Stellungnahme aus November 2011 gegenüber der EU-Kommission vertreten. Die Kommission hat sich zumindest informell der Auffassung der Bundesregierung angeschlossen.
Welche Folgen dies für die Praxis hat, bleibt unklar. Zum einen ist nicht eindeutig, wie die Erteilung der Einwilligung erfolgen muss, insbesondere ob schon in den Browsereinstellungen des Nutzers eine stillschweigende Einwilligung gesehen werden kann (so die Erwägungsgründe der Richtlinie). Zum anderen bleibt offen, ob jegliche Arten von Cookies dem Einwilligungserfordernis unterliegen. Hinzu kommt, dass die Richtlinie nicht nur personenbezogene Daten betrifft, sondern generell Informationen, die auf dem Endgerät des Nutzers gespeichert sind. Das TMG regelt nur den Umgang mit personenbezogenen Daten.
Wenn ein Webseitenbetreiber daher ganz sicher gehen will, müsste er eine Einwilligung des Nutzers zur Verwendung von Cookies einholen, nachdem er ihn (im Datenschutzhinweis) hinreichend über deren Einsatz informiert hat. Vereinzelt fragen Webseitenbetreiber bereits jetzt (z.B. in einem Pop-up Fenster) ab, ob der Nutzer dem Einsatz von Cookies zustimmt. Das Risiko eines Webseitenbetreibers, angemahnt zu werden, wenn er keine solche Einwilligung des Nutzers zum Einsatz von Cookies einholt, dürfte in Anbetracht der offenen Fragen zur aktuellen Rechtslage aber derzeit wohl noch gering sein. Jedoch sollten die Entwicklungen in diesem Bereich unbedingt verfolgt werden.
