Open in app

Sign in

Write

Sign in

“Google Analytics” und Like-Buttons bald Geschichte?

Das “Safe Harbor”-/Facebook-Urteil des EuGH könnte zu neuen Pflichten für Webseitenbetreiber führen

Alexander Batel
Buch & Mehr

--

Alle Medien berichteten breit darüber, dass der EuGH sich klar für den Datenschutz ausgesprochen hat. Ein Sieg für die Bürger, eine Niederlage für die Politik. Der EuGH stellte nämlich fest, dass die von Snowden vorgelegten Unterlagen ausreichend seien, um die USA als “nicht sicheren Drittstaat” im Sinne der EU-Datenschutzverordnung anzusehen.

Doch auch Facebook war Verlierer, auch wenn die Presseabteilung dies nicht so sieht. Facebook habe separate Verträge auf Grundlage der europäischen Datenschutzverordnung geschlossen, sodass Daten der Nutzer weiter in die USA übermittelt werden könnten.

Diese Praxis könnte bis zum Abschluss eines Nachfolgeabkommens jedoch noch der Überprüfung der nationalen Datenschutzbehörden unterliegen. Aber auch Max Schrems und andere Nutzer könnten mit ihren Klagen dem Internetriesen schmerzlich zusetzen.

Gänzlich in der Berichterstattung untergegangen ist jedoch, wie normale Webseiten-, Blogbetreiber und Nutzer sozialer Medien, die amerikanische Diensteanbieter wie Google, Facebook oder Amazon nutzen, sich nun rechtlich absichern sollten.

Welcher Blogbetreiber nutzt heute nicht Dienste wie Google Analytics oder Social-Plugins von Facebook, Twitter & Co., um seinen Besuchern einen Mehrwert anzubieten. Leider sind dies meistens amerikanische Unter-nehmen und somit ist man als Nutznießer dieser Dienste auch gegenüber seinen Usern verpflichtet.

Also: Könnten nationale Datenschutzbehörden nun Homepage- und Blog-Betreiber mit Strafen belegt werden? Oder könnten gar Konkurrenten einen abmahnen?

Diese Unsicherheit trifft dann doch jeden aktiven Internetnutzer, auch wenn man solche Gefahren gerne ausblenden möchte.

Das EuGH-Urteil — Die Gründe und rechtlichen Folgen: Kurz und knapp

Grundlage für die Entscheidung des Gerichts waren die EU-Datenschutzverordnung RL 95/46/EG sowie die Entscheidung 2000/520 der Europäischen Kommission, die als sog. “Safe Harbor”-Abkommen bekannt geworden ist.

Als betroffene Grundrechte wurden die Art. 7, 8 und 47 der EU-Grundrechtecharta herangezogen:

  • die Achtung der Privatsphäre und Kommunikation
  • der Schutz personenbezogener Daten
  • das Recht auf rechtliches Gehör

Das Gericht befand, dass das “Safe Harbor”-Abkommen gänzlich ungültig und die RL 95/46/EG allein anzuwenden sei.

Um die Konsequenzen zu verstehen, muss man die dt. Umsetzung der Richtlinie betrachten. § 4 Abs. 1 TDDSG ( Teledienstedatenschutzgesetz ) stellt hier fest, dass bei einer Übermittlung von personenbezogenen Daten in Nicht-EU-Staaten der Nutzer vorab über die Verarbeitung der Daten unterrichtet werden muss.

Peter Schaar, ehem. Bundesdatenschutzbeauftragter, ist hingegen der Auffassung, dass eine “pauschale Einwilligung in umfassende staatliche Überwachung durch einen Drittstaat, verbunden mit dem Verzicht auf Rechtsschutz und auf das nach EU-Recht unabdingbare Auskunftsrecht bezüglich der eigenen Daten” unwirksam sei.

Meist erfolgt eine personenbezogene Datenerhebung mithilfe von sog. Cookies. Hier hat die sog. “Cookie”-Richtlinie der EU ( RL 2009/136/EG als Änderungsrichtlinie zur RL 2002/58/EG ) bereits höhere Hürden angesetzt.

Da die Richtlinie von Deutschland noch nicht als Gesetz umgesetzt wurde, sind Gerichte dazu angehalten, entweder diese Richtlinie direkt anzuwenden, oder bestehende Gesetze entsprechend auszulegen. Die Europäische Kommission ist der Ansicht, dass das BDSG ( Bundesdaten-schutzgesetz ) und das TDDSG ausreichen, der Wortlaut aber der Richtlinie entsprechend auszulegen sei.

Google hat in der Folge in diesem Jahr neue Richtlinien für die Nutzung seines “AdSense”-Dienstes erlassen.

Webseitenbetreiber sollen nun der Richtlinie entsprechend, den Nutzern ein “Opt-In”-Verfahren anbieten, um Cookies nutzen zu dürfen.

Ergebnis:

Ein Hompagebetreiber befindet sich hier zwischen den Stühlen. Soll er seinen Nutzern eine explizite Zustimmung abverlangen, wie es Google vorgibt, oder die Nutzung amerikanischer Dienste gänzlich unterbinden, wie es Peter Schaar vorschwebt?

Letzteres ist aus ökonomischen und praktischen Gründen meist unpraktikabel.

Rechtsanwalt Thomas Schwenke stellt in seinem Blogbeitrag sogar fest, dass die meisten bisher “m.E. 99,9 % der Datentransfers (…) ohnehin rechtswidrig” waren, wenn man nicht den EU-Vorgaben entsprechende Verträge abgeschlossen hatte.

Geben wir es am Ende doch zu: Wir sind von einem sozial-medialen Monopol aus Übersee abhängig. Wir sind auch bequem, denn warum zu etwas anderem wechseln, das man nicht kennt.

In der Praxis sind die Datenschutzbehörden zwar häufig personell und finanziell unterbesetzt, sodass Strafen zwar nicht unmittelbar drohen; dennoch wandelt sich das politische Klima. Ausgeschlossen werden kann nichts mehr.

Gefährlicher sind hingegen mögliche Abmahnwellen auf zivilrechtlicher Ebene.

Nicht zu handeln wäre fahrlässig. Lösungen müssen gefunden werden.

Ein Lösungsansatz: Das “Ich übermittle Daten”-Banner

Auf der Anleitungsseite von Google zum Thema der “Cookie”-Banner findet sich folgender Wortlaut, den man in seinem Banner unterbringen soll:

Wir verwenden Cookies, um Inhalte und Anzeigen zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Außerdem geben wir Informationen zu Ihrer Nutzung unserer Website an unsere Partner für soziale Medien, Werbung und Analysen weiter.

In der Praxis stößt man meist auf kürzere Varianten, wie zB auf t3n. Am unteren Ende befindet sich dann die (individuelle) “Verkörperung” der “Cookie”-Richtlinie:

Mein Ansatz zielt nun darauf ab, dass man den Text des Banners ergänzt.

Eine mögliche Formulierung könnte folgendermaßen aussehen:

“Außerdem erklärst du dich damit einverstanden, dass wir (für unseren Service) Dienste von Anbietern in Anspruch nehmen, die ihren Sitz außerhalb der EU haben; diese Unternehmen verarbeiten personenbezogene Daten, die den Regeln des Drittstaates unterliegen können.”

Um den Vorstellungen Peter Schaars nahezukommen, könnte man als Ergänzung noch die Verwendung von sog. Script-Blockern wie NoScript oder Ghostery empfehlen.

Ob man als Webseitenbetreiber die Einschränkung seiner eigenen Tools aktiv bewerben möchte, bleibt am Ende einem selbst überlassen.

Meiner Ansicht nach erscheint eine Nutzereinwilligung mithilfe eines Banners einzuholen, derzeit die praktikabelste Lösung zu sein.

Fazit

  • Wähle nach Möglichkeit europäische Diensteanbieter aus
  • Alternativ: Sog. ADV-Verträge mit US-Anbietern abschließen (Näheres dazu hier)
  • Besucher und Nutzer um Einwilligung bitten (Bsp. s.o.)
  • Nicht vergessen: Ausformulierte Datenschutzerklärung bereithalten, in der konkret alle genutzten Dienste und Datenverarbeitungsprozesse aufgelistet werden

Dir gefällt mein Beitrag?

Dann würde es mich freuen, wenn du auf den Recommend-Button klickst, damit auch andere Leser diesen Artikel angezeigt bekommen. Danke dir!

Hast du Ideen für einen Blog-Artikel, Fragen, die du beantwortet haben willst?

Dann schreib mir in den Kommentaren.

Hinweis:

Die hier vertretenen Ansichten stellen die Meinung des Autors dar und können in diesem sich permanent entwickelndem Rechtsbereich keinen Anspruch auf absolute Rechtssicherheit erheben. Ebenso dient der Beitrag einer Übersicht über die Problematik und stellt keine umfassende Darstellung aller möglichen rechtlichen Details und Probleme dar, zumal jeder Fall einzeln beurteilt werden muss. Bitte suche bei individuellen Fragen um deinen Sachverhalt zu klären, einen Rechtsanwalt deines Vertrauens auf.

--

--

Alexander Batel
Buch & Mehr

Written by Alexander Batel

148 Followers
Editor for

Wortschmied und Buchstabenschwinger +++ Autor — SciFi & Fantasy +++ Impressum: http://on.fb.me/1KF1rIp