Embed Size (px)
Citation preview
526 DuD Datenschutz und Datensicherheit 7 | 2012
GOOD PRACTICE
1 Einleitung
Angesichts etablierter Geschäftsmodelle im Bereich der Teleme-dien, welche die Prinzipien des Datenschutzes ebenso offen wie unbekümmert konterkarieren, gerät teilweise aus dem Blickfeld, dass Angebote im Internet nicht nur von Konzernen, sondern zu einer Vielzahl auch von Privatpersonen erstellt werden.
Durch Schlagworte wie das des „Web 2.0“ beziehungswei-se den Verweis auf das „demokratische Potenzial“ des Internets wird gerade der Umstand betont, dass in diesem neuen Medium die Trennung zwischen Sender und Rezipient nicht zwingend ist: Nutzer begnügen sich nicht damit, Kommentarspalten zu füllen, sondern erstellen in Form von Homepages oder Blogs auch eigene Angebote. Hierbei wird größtenteils auf die kostenlose Software Wordpress zurückgegriffen, die es als intuitives Content Manage-ment System (CMS) jedermann erlaubt, Webseiten zu verwalten. Wordpress wurde 2010 für ca. 30.000 deutschsprachige Blogs ge-nutzt, was einem Marktanteil von 78 % entspricht.1
So werden von Webhostern mit Wordpress umfassende Kom-plettpakete für Privatpersonen gezielt als einfache Möglichkeit zur Erstellung professionell anmutender Blogs beworben. Während den Benutzern hinsichtlich der technischen Aspekte die Arbeit weitgehend abgenommen wird, fehlt bezüglich der rechtlichen Di-mensionen teilweise jede Hilfestellung. So wird beispielsweise im Webhosting-FAQ des Anbieters Host Europe bei der Eingabe des Suchbegriffs „Datenschutz“ kein einziger Eintrag gefunden. Auch
1 Müller, Sergej, Analyse: 78 % der deutschsprachigen Blogs setzen auf Word-press, playground v. 08.03.2010, http://playground.ebiene.de/2045/deutsche-setzen-auf-wordpress/ (Stand: 24.11.2011).
nach den AGB2 ist der Kunde hinsichtlich des Datenschutzes auf sich allein gestellt. Unter § 15 Abs. 1 wird ausgeführt:
„Der Kunde versichert ausdrücklich, dass die Bereitstellung und Veröffentlichung der Inhalte […] weder gegen deutsches noch sonst einschlägiges nationales Recht, insbesondere Urheber-, Marken-, Namens-, Datenschutz- und Wettbewerbsrecht, verstoßen.“
2 Verstöße
Es ist zu berücksichtigen, dass es sich bei den Kunden überwie-gend um juristische Laien handeln dürfte, die in der Regel über keine detaillierten Kenntnisse datenschutzrechtlicher Bestim-mungen verfügen, weshalb auch eine entsprechende Gestaltung der Angebote nicht überrascht. In den letzten Jahren ist eine Rei-he von datenschutzrechtlichen Pro blemen erkannt worden, die bei den einschlägigen Angeboten regelmäßig anzutreffen sind.
2.1 Log-Files
Bei von Webhostern bereitgestelltem Speicherplatz werden in Log-Files sämtliche Anfragen und versuchte Zugriffe auf die je-weiligen Server protokolliert. Hierbei wird neben der angefor-derten Datei und der Uhrzeit unter anderem auch die IP-Adresse vermerkt, von der aus die fragliche Datei aufgerufen werden soll-te. Die Fachzeitschrift c’t setzte sich 2010 mit der Speicherpraxis der deutschen Anbieter auseinander und kam dabei zu alarmie-renden Ergebnissen:3 Während bei manchen Webhostern IP-Ad-ressen unvollständig oder überhaupt nicht erfasst wurden, ist bei anderen die vollständige Erfassung der IP-Adressen gängige Pra-xis. So besteht bei dem in Köln ansässigen Host Europe für den Kunden allein die Möglichkeit, das reguläre Log-File zu anony-misieren, jedoch nicht das Error-Log-File, in dem erfolglose Ver-bindungsversuche für eine Dauer von 10 Tagen vermerkt werden.
Diese Praxis stellt rechtlich eine gewisse Herausforderung dar, weil – sofern der absoluten Theorie gefolgt wird4 – mit der dyna-
2 Host Europe, Geschäftsbedingungen, Host-Europe.de v. 20.10.2011, http://www. hosteurope.de/content/Allgemeine-Geschaeftsbedingungen (Stand: 24.11.2011).
3 Bleich, Holger/Heidrich, Joerg, Sammelleidenschaft, c’t 5/2010, 154.4 AG München, BeckRS 2008, 23037; OLG Hamburg, MMR 2011, 281, 282; AG
Wuppertal, MMR 2011, 65, 66.
Matthias Dittmayer
Fallstricke für Blogger
Datenschutz bei Telemedien
Die Diskussion um Datenschutzverstöße in Telemedien wird von Angeboten größerer Unternehmen wie Facebook oder Googles Streetview dominiert. Die datenschutzrechtlichen Anforderungen an nicht kommerzielle Inhalte, wie beispielsweise durch Privatpersonen betriebene Blogs, gerät dabei leicht in den Hintergrund, obwohl solche Angebote inzwischen eine quantitativ erhebliche Rolle spielen. Der Beitrag untersucht die Umsetzung datenschutzrechtlicher Anforderungen an solche Blogs in der Praxis.
Dipl. iur. Matthias Dittmayer
ist Doktorand an der Universität Bremen
E-Mail: [email protected]
DuD Datenschutz und Datensicherheit 7 | 2012 527
GOOD PRACTICE
mischen IP-Adresse ein personenbezogenes Datum erhoben und gespeichert wird. Es müsste somit auf eine die Speicherung legi-timierende gesetzliche Vorschrift oder eine Einwilligung des Be-nutzers zurückgegriffen werden können.
Als Vorschrift kommt insoweit, wie auch vom Düsseldorfer Kreis festgestellt,5 allein der § 15 Abs. 1 S. 1 TMG in Betracht, wonach die Erhebung und Verwendung der nicht anonymisierten IP-Ad-resse lediglich zur Abrechnung oder Inanspruchnahme des Ange-bots gestattet wird. Hinsichtlich der Inanspruchnahme ist allein die Erhebung, aber nicht die Speicherung erforderlich, so dass die Protokollierung im Log-File hierdurch nicht gerechtfertigt werden kann. Da die Inanspruchnahme von Webseiten üblicherweise un-entgeltlich erfolgt, scheidet auch die zweite Alternative aus, so dass die Einwilligung der Benutzer eingeholt werden müsste.
Die Kunden von Hosting Europe müssten sich somit bemü-hen, von den Besuchern ihrer Webseite eine wirksame Einwilli-gung einzuholen, um die Erfassung der IP-Adresse zu legitimie-ren. Online finden sich aber oftmals Datenschutzerklärungen, denen nur eine bedingte Tauglichkeit attestiert werden kann. Der entscheidende Punkt ist im Übrigen, dass es rechtlich erforder-lich ist, die Zustimmung des Benutzers vor der Speicherung des Datums zu erwirken. Eine nachträgliche Genehmigung ist un-zureichend, so dass der Besucher einer Webseite schon vor de-ren Aufruf in die bei diesem erfolgende Protokollierung seiner IP-Adresse einwilligen müsste. Dies lässt sich auf keinem prakti-kablen Weg bewerkstelligen, so dass sich das Erfassen der IP-Ad-resse nicht gesetzeskonform durchführen lässt.
Durch Host Europe wird die dennoch erfolgende Speiche-rung von IP-Adressen damit begründet, dass dies technisch un-vermeidlich und zur Sicherstellung des Serverbetriebs erforder-lich sei. Man beruft sich diesbezüglich auf die Rechtsprechung des BGH, wonach Telekommunikationsanbietern eine anlasslo-se Speicherung von IP-Adressen für 7 Tage gestattet werde, so-fern dies zur Beseitigung von Störungen bei Telekommunikati-onsanlagen nötig sei.6 Dieses Vorbringen muss auf Bedenken sto-ßen, da es sich bei Webhostern nicht um Telekommunikations-dienste handelt, so dass ihnen der Rückgriff auf den § 100 Abs. 1 TKG verwehrt bleiben muss.
Des Weiteren erscheint es auch zweifelhaft, dass zur Sicherstel-lung des Serverbetriebs allgemein eine vollständige Erfassung der IP-Adressen notwendig ist. So wurde gegenüber der c’t seitens ei-nes Webhosters angegeben, dass „grundsätzlich kein Interesse an der Erfassung von IP-Nummern der Webseitenbesucher unserer Kunden“ bestehe. Die IP-Adresse werde vielmehr deswegen erho-ben, weil sie „durch Kunden genutzt wird, um zum Beispiel die Verweildauer der Besucherströme zu analysieren“.7 Auch wenn der-artige Ambitionen aus unternehmerischer Sicht nachzuvollziehen sind, ändert dies nichts an der Verletzung datenschutzrechtlicher Bestimmungen. So wurde auch hinsichtlich der Speicherung von IP-Adressen auf dem Internetportal des Bundesjustizministeri-ums festgestellt, dass „keine Rechtfertigung für die Speicherung der Daten seitens der Beklagten“ ersichtlich sei, weshalb nunmehr eine vollständige Anonymisierung der Log-Files des BMJ erfolgt.8
5 Düsseldorfer Kreis, Datenschutzkonforme Ausgestaltung von Analysever-fahren zur Reichweitenmessung bei Internet-Angeboten, http://www.lfd.m-v.de/dschutz/beschlue/Analyse.pdf (Stand: 24.11.2011).
6 BGH, MMR 2011, 341, 341 ff.7 Bleich, Holger/Heidrich, Joerg, Sammelleidenschaft, c’t 5/2010, 154.8 AG Berlin Mitte, Urt. v. 27.03.2007 – 5 C 314/06 (erhältlich in juris); so auch: VG
Wiesbaden, MMR 2009, 428, 432; a.A.: AG München, BeckRS 2008, 23037; OLG Ham-
Für Kunden anderer Anbieter, bei denen sich die Log-Files nicht anonymisieren lassen, bedeutet dies jedoch, dass sie mit der Protokollierung von Zugriffen gegen geltendes Datenschutz-recht verstoßen.
2.2 Blog-Kommentare
Die Software Wordpress erlaubt nicht nur das Publizieren von Angeboten, sondern ferner deren Kommentierung durch den Le-ser. Hierbei werden „ab Werk“ die IP-Adressen der Kommentie-renden erfasst, ohne dass ein dahingehender Hinweis oder gar das Einholen einer Einwilligung vorgesehen ist. Auch das Deakti-vieren der Protokollierung ist in Wordpress selbst nicht möglich.
Nach dem schon erwähnten Beschluss des Düsseldorfer Krei-ses, wonach die IP-Adressen auch für die Anbieter von Webange-boten ein personenbeziehbares Datum darstellen und somit den Bestimmungen des Datenschutzes unterliegen, sind auch hier die Vorgaben des Datenschutzrechts zu beachten. So wurde be-reits festgestellt, dass IP-Adressen „ohne Einwilligung nur erho-ben […] werden [dürfen], soweit dies erforderlich ist, um die In-anspruchnahme von Telemedien zu ermöglichen und abzurech-nen. Jede darüber hinausgehende Nutzung bedarf der Einwilli-gung der Betroffenen“.9
Demnach könnte bei Wordpress-basierten Blogs auch die gän-gige Erfassung von IP-Adressen der Kommentierenden den Da-tenschutz verletzen. Grundsätzlich bestünde hier wieder die Möglichkeit, die Zustimmung des Besuchers in Form einer Ein-willigung einzuholen. Anders als im Fall des Webhostings er-folgt die IP-Erfassung durch Wordpress auch nicht bereits bei dem Aufruf der Seite, sondern erst mit Erstellung des jeweiligen Kommentars. Es bestünde somit die Möglichkeit, vom Besucher vor dem Verfassen seines Beitrages die Zustimmung zur Speiche-rung seiner IP-Adresse einzuholen.
Hinsichtlich der hierfür notwendigen Form gilt bei Medien-diensten abweichend von § 4a BDSG, dass die Schriftform nicht verlangt wird, sondern dass die Einwilligung in elektronischer Form nach § 13 Abs. 2 Nr. 1 TMG allein bewusst und eindeutig erteilt werden muss.
Besucher eines Blogs, die gewillt sind, einen Kommentar zu erstellen, müssten somit zunächst gemäß § 4a BDSG und § 13 Abs. 2 Nr. 2 – 4 TMG darüber aufklärt werden, zu welchem Zweck und mit welchen Folgen die Einwilligung verlangt wird, wobei die Speicherung der IP-Adresse als personenbezogenes Da-tum ausdrücklich erwähnt werden muss. Darüber hinaus ist auch auf die Widerrufbarkeit der Zustimmung hinzuweisen sowie der Vorgang zu protokollieren.
Des Weiteren müsste sichergestellt werden, dass der Benutzer die Einwilligung bewusst und eindeutig erklärt, den Inhalt des Textes also zumindest zur Kenntnis genommen hat. Hierfür er-scheint es nicht ausreichend, dass dem Besucher allein der Text präsentiert wird, sondern er müsste – beispielsweise durch ei-nen bestätigenden Knopfdruck (Opt-In) seine Einwilligung aus-drücklich erklären.
Die Frage, ob auch eine Opt-Out-Einwilligung genügen wür-de, ist umstritten: Vom BGH wurde dies bisher allein bei auf Pa-
burg, MMR 2011, 281, 282; AG Wuppertal, MMR 2011, 65, 66.9 Düsseldorfer Kreis, Datenschutzkonforme Ausgestaltung von Analysever-
fahren zur Reichweitenmessung bei Internet-Angeboten, http://www.lfd.m-v.de/dschutz/beschlue/Analyse.pdf (Stand: 24.11.2011).
528 DuD Datenschutz und Datensicherheit 7 | 2012
GOOD PRACTICE
pier vorliegenden Verträgen angenommen,10 was in Kommen-taren dahingehend aufgefasst wurde, dass dies auch im elektro-nischen Rechtsverkehr genügen könnte.11 Wegen der Besonder-heiten des elektronischen Rechtsverkehrs erscheint es, wie auch durch die offizielle Interpretationshilfe der entsprechenden EU-Richtlinie festgestellt,12 jedoch erforderlich, ein Opt-In-Verfah-ren zu verlangen.
Demnach müssten Besucher eines Wordpress-Blogs vor dem Erstellen eines jeden Kommentars nach einem entsprechenden Text aktiv bestätigen, dass sie ihre Einwilligung zur Speicherung ihrer IP-Adresse erteilen.13
Solche Erklärungen sind in der Praxis jedoch kaum anzutreffen, wobei sich auch eine andere Lösung anbietet. So existieren Plug-Ins,14 welche die Speicherung der IP-Adressen bei Kommentaren durch Wordpress verhindern. Es dürfte jedoch anzunehmen sein, dass ein großer Teil der Wordpress nutzenden Personen weder Kenntnis von der rechtlichen Problematik noch von der Existenz des Plug-Ins haben. Der Gebrauch von Wordpress dürfte bedingt durch die Erfassung der IP-Adresse der Kommentierenden somit regelmäßig gegen geltendes Datenschutzrecht verstoßen.
2.3 Spam-Prüfung
Um dem – auch bei Blogs ein Problem darstellenden – Spam be-gegnen zu können, wird die Software Wordpress „ab Werk“ mit dem Plug-In Akismet ausgeliefert. Der Benutzer hat die Mög-lichkeit, dieses zu aktivieren, so dass eingehende Kommentare anhand einer Vielzahl von Merkmalen geprüft werden. Zu die-sem Zweck werden die Daten eines jeden Kommentierenden, un-ter anderem der angegebene Benutzername, die eingetragene E-Mail-Adresse und die IP-Adresse, zur Analyse an einen in den USA stehenden Server übermittelt.
Auch in diesem Fall greifen, da die IP-Adresse erhoben wird, die Bestimmungen des Datenschutzes. Ungeachtet der Frage, ob zur Vermeidung von Spam die Einwilligung zur Verwendung der IP-Adresse entbehrlich sein könnte, ergibt sich die besondere Bri-sanz der Nutzung von Akismet aus dem Umstand, dass der die Daten analysierende Server in den Vereinigten Staaten steht, so dass durch die Nutzung des Plug-Ins personenbeziehbare Daten ins Ausland übermittelt werden müssen.
Gemäß den §§ 4b, 4c Abs. 1 S. 1 Nr. 1 BDSG ist für eine solche Übermittlung von personenbezogenen Daten eine Einwilligung des Benutzers unter Umständen auch dann notwendig, wenn die Erhebung grundsätzlich erforderlich und somit auch ohne Zustimmung legitim wäre. Dies ist insbesondere dann der Fall, wenn dem Datenschutz im Zielland kein angemessenes Schutz-niveau attestiert werden kann. In den USA ist dies der Fall, wes-halb sich die Betreiber von Blogs für die Nutzung von Akismet um die Einwilligung der Nutzer bemühen müssen.
10 BGH, NJW 2008, 3055 ff.11 Spindler/Nink/Spindler/Schuster, Recht der elektronischen Medien, 2. Au-
flage 2011, Rn. 6-7.12 Working Party on the Protection of Individuals with Regard to the Process-
ing of Personal Data of the European Parliament and of the Council of 24 October 1995, http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2005/wp114_en.pdf (Stand: 06.12.2011).
13 Siehe auch: Schwenke, Usability VS Datenschutz – Datenschutzrechtli-che Einwilligung ohne Opt-In?, spreerecht.de v. 07.04.2011, http://spreerecht.de/datenschutz/2011-04/usability-vs-datenschutz-datenschutzrechtliche-einwilli-gung-ohne-opt-in (Stand: 06.12.2011).
14 Vgl. http://www.wirspeichernnicht.de.
Eine Ausnahme bestünde dann, wenn das Akismet betreibende Unternehmen dem „Safe Harbor“-Abkommen beigetreten wäre, was jedoch bisher nicht der Fall ist. Die durch die Nutzung von Akismet initiierte Datenübermittlung stellt somit aktuell, sofern keine Einwilligung der Benutzer eingeholt wird, eine Verletzung des Datenschutzes dar.
Ein Rückgriff auf die in § 11 BDSG geregelte Auftragsdaten-verarbeitung vermag den Einsatz von Akismet ebenfalls nicht zu rechtfertigen. Aufgrund der enthaltenen Privilegierung wä-re ein Austausch von personenbezogenen Daten zwischen Auf-traggeber und -nehmer zwar nicht als eine ein Einverständnis be-dürfende Übermittlung anzusehen,15 doch der Anwendungsbe-reich der Norm ist auf Stellen in Ländern der EU oder des EWR beschränkt,16 so dass die Regelung schon deshalb im Fall von Akismet nicht greifen kann.
Auch in diesem Fall werden Laien kaum Kenntnis von der Pro-blematik haben, so dass angenommen werden muss, dass Akis-met in einer Vielzahl von Fällen entgegen den Bestimmungen des BDSG eingesetzt wird. Die für die deutsche Lokalisation von Wordpress Verantwortlichen sind 2011 auf diesen Sachver-halt aufmerksam geworden, konnten bei den Entwicklern jedoch kein Bewusstsein für die Problematik schaffen.17 Man war allein in der Lage, bei neuen Installationen von Wordpress den Hin-weis einzufügen, dass sich die Benutzer über „mögliche recht-liche Probleme (den Datenschutz betreffend) beim Einsatz von Akismet in Deutschland“ informieren möchten. Darüber hinaus werden Plug-Ins zur Einholung einer Einwilligung, Links zu da-tenschutzkonformen Spam-Filtern und Mustertexte angeboten.
2.4 Social Plug-Ins
Die Betreiber von Webseiten können es Benutzern ihres Ange-botes mittels sogenannter „Social Plug-Ins“ ermöglichen, veröf-fentlichte Texte über soziale Netzwerke weiterzuempfehlen. Die-se stellen hierfür in der Regel vorgefertigte Funktionen bereit, die durch ein kurzes Codefragment in das jeweilige Angebot in-tegriert werden können. Auch wenn die Programmierung somit letztendlich von Diensten wie Facebook stammt, sind es Ange-bote von Behörden, Medien oder auch schlicht Blogs, welche die Plug-Ins integrieren. Insbesondere der „Like“- bzw. „Gefällt mir“-Button von Facebook begegnet Kritik, da dieser auch ohne Betäti-gung allein durch den Aufruf einer mit ihm versehenen Seite zu-mindest bei eingeloggten Facebook-Nutzern unter anderem die IP-Adresse an Facebook übermittelt.18
Hinsichtlich dieser in Webangebote implementierten „Soci-al Plug-Ins“ stellt ein Gutachten des Unabhängigen Landeszent-rums für Datenschutz Schleswig-Holstein eine „Verantwortlich-keit des Webseitenbetreibers, der durch die Gestaltung seiner Webseite die Datenweitergabe an Facebook initiiert und in der
15 Petri, in: Nomos-Kommentar zum Bundesdatenschutzgesetz, § 11 Rn. 43.16 Gola/Schomerus, § 11 Rn. 16.17 „Den Entwicklern des Plugins ist das Problem leider egal.“: Baumann,
Akismet und Datenschutz: Einwilligung per Opt-In notwendig, blog.word-press-deutschland.de v. 20.04.2011, http://blog.wordpress-deutschland.org/2011/04/20/akismet-und-datenschutz-einwilligung-per-opt-in-notwendig.html (Stand: 06.12.2011).
18 „Wir erhalten Daten immer dann, […] wenn du eine Webseite besuchst, auf der eine Facebook-Funktion (wie zum Beispiel ein soziales Plug-in) vorhan-den ist. Diese Daten können […] die IP-Adresse […] enthalten […].“: Facebook, Da-tenverwendungsrichtlinien, Facebook.de v. 23.11.2011, http://de-de.facebook.com/about/privacy/your-info#inforeceived (Stand: 06.12.2011).
DuD Datenschutz und Datensicherheit 7 | 2012 529
GOOD PRACTICE
Hand hat“, fest.19 Es liegt somit an den jeweiligen Seitenbetrei-bern, Behörden, Unternehmen und Privatleuten, die rechtlichen Bestimmungen zu beachten.
Da sich eine Legitimierung der Datenerhebung und -verwen-dung auch aus einer seitens Facebook eingeholten Einwilligung ergeben könnte, wird im Gutachten zunächst auf den Registrie-rungsprozess bei Facebook abgestellt. In dessen Rahmen wird je-doch zu pauschal und unbestimmt lediglich allgemein über die Verwendung von Daten informiert, ohne dass eine (wirksame) Einwilligung des Nutzers eingeholt wird.20
Somit müsste sich nach wie vor die ein „Social Plug-In“ verwen-dende Person um eine Einwilligung des Seitenbesuchers bemü-hen. Hinsichtlich der von Facebook gestellten Buttons ist dies nur über Umwege realisierbar, da bereits mit dem Laden einer „So-cial Plug-Ins“ verwendenden Seite die Übermittlung der IP-Ad-resse erfolgt. Nichtsdestotrotz kann hier bereits auf verschiedene Lösungsmöglichkeiten zurückgegriffen werden: Während einer-seits dem Laden der mit „Social Plug-Ins“ versehenen Seite eine die Einwilligung einfordernde Seite vorgeschaltet werden kann,21 wird von anderer Seite ein neu programmierter „Like“-Button angeboten, der erst nach einer Aktivierung durch den Nutzer die Übermittlung der IP-Adresse an Facebook zulässt.22
In beiden Fällen bestehen jedoch Bedenken, ob auf diese Art wirklich eine wirksame Einwilligung erlangt werden kann. Für die Einwilligung gemäß § 13 Abs. 2 TMG ist es erforderlich, dass der Benutzer über die Reichweite seiner Einwilligung aufgeklärt wird. Er muss insoweit unter anderem über die Art und den Um-fang der Datenerhebung informiert werden. Der Umfang der Da-tenerhebung wird durch Facebook jedoch nur ungenau und zum Teil auch widersprüchlich angegeben. Bestimmte Informatio-nen, wie beispielsweise über die Dauer der Speicherung, fehlen teilweise,23 so dass den Seitenbetreibern aufgrund der Intranspa-renz der Datenerhebung Facebooks ihrerseits eine transparente Information der Seitenbesucher schwerfallen wird.24
2.5 Datenschutzerklärung
§ 13 Abs. 1 TMG verlangt von Anbietern „den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhe-bung und Verwendung personenbezogener Daten […] zu unter-richten“. Es ist somit auf einer jeden Webseite, also auch auf Blogs von Privatpersonen, über die Erhebung und Verarbeitung von personenbezogenen Daten transparent aufzuklären.
19 ULD Schleswig-Holstein, Datenschutzrechtliche Bewertung der Reichwei-tenanalyse durch Facebook v. 19.08.2011, S. 17, https://www.datenschutzzen-trum.de/facebook/facebook-ap-20110819.pdf (Stand: 06.12.2011).
20 ULD Schleswig-Holstein, Datenschutzrechtliche Bewertung der Reichwei-tenanalyse durch Facebook v. 19.08.2011, S. 20 ff., https://www.datenschutzzen-trum.de/facebook/facebook-ap-20110819.pdf (Stand: 06.12.2011).
21 Vgl. http://www.yagendoo.com/de/wordpress/wordpress-plugins/word-press-datenschutz-plugin.html (Stand: 06.12.2011).
22 Schmidt, 2 Klicks für mehr Datenschutz, heise.de v. 01.09.2011, ht-tp://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html (Stand:06.12.2011).
23 Vgl. Bleich, Like-Button: Facebook erklärt Details zur Speicherpraxis, hei-se.de v. 08.09.2011, http://www.heise.de/newsticker/meldung/Like-Button-Face-book-erklaert-Details-zur-Speicherpraxis-1339079.html (Stand: 06.12.2011); Face-book, Datenverwendungsrichtlinien, Facebook.de v. 23.11.2011, http://de-de.fa-cebook.com/about/privacy/your-info#inforeceived (Stand: 06.12.2011).
24 Meister, Ist der 2-Klick-Button wirklich datenschutzkonform?, medien-ge-recht.de v. 03.09.2011, http://www.medien-gerecht.de/2011/09/03/ist-der-2-klick-button-wirklich-datenschutzkonform/ (Stand: 06.12.2011).
Die Datenschutzerklärung beschränkt sich dabei nicht nur auf solche Vorgänge, bezüglich derer eine Einwilligung des Nutzers eingeholt werden muss, sondern schlicht jede Erhebung und Ver-wendung personenbezogener Daten muss erklärt werden. Daher muss neben der gegebenenfalls zwecks der Vermeidung von Spam oder aus Werbezwecken erfolgenden Übermittlung von IP-Ad-ressen ins Ausland, der Speicherung der IP-Adressen der Kom-mentierenden und der (illegitimen) Speicherung der IP-Adres-sen von Seitenbesuchern in Log-Files auch auf die aus techni-schen Gründen zur Inanspruchnahme des Angebots notwendi-ge Erhebung der IP-Adresse für die Dauer der Verbindung hin-gewiesen werden.
Solche Erklärungen sind jedoch oftmals nicht zu finden oder zu allgemein gefasst, um den gesetzlichen Anforderungen genü-gen zu können. So wird häufig die Speicherdauer erhobener Da-ten nicht benannt oder der Zweck offen gelassen. Bei den Kun-den von Host-Providern kann hierbei erschwerend hinzukom-men, dass die Protokollierung der IP-Adressen zwingend vor-gegeben ist und sie auch sonst nur einen beschränkten Einblick in die Modalitäten und die Gründe der Erhebung von Daten er-halten. Dem Seitenbetreiber sind somit die für eine ausreichende Datenschutzerklärung erforderlichen Daten regelmäßig nicht be-kannt, so dass deren Formulierung ohne Inanspruchnahme des Supports kaum gelingen kann.
3 IP-Adresse als personenbezogenes Datum
Sowohl bei der Zugrundelegung des absoluten als auch des rela-tiven Verständnisses der Personenbezogenheit von Daten25 muss jede Stelle, der eine Personalisierung von dynamischen IP-Adres-sen möglich ist, diese als personenbezogene Daten behandeln.26 Diesem Umstand kommt immer dann eine Bedeutung zu, wenn Angebote anlässlich einer identifizierbare Angaben ermöglichen-den Nutzung – wie webbasierten E-Mail-Diensten und der An-meldung bei Webshops oder Onlinebanking27 – auch die IP-Ad-resse der Nutzer erfassen.
Im Fall von Wordpress besteht die Möglichkeit, Lesern das Ver-fassen von Kommentaren zu gestatten, wobei regelmäßig die An-gabe von Name, E-Mail-Adresse und Webseite gestattet ist. So-fern diese Angaben hinreichend konkret gefasst sind28 - wenn bei-spielsweise auf den eigenen, dem § 55 Abs. 1 RStV entsprechend ein Impressum beinhaltenden Internetauftritt verwiesen wurde – erlauben sie dem Blogbetreiber mit der Identifizierung des Kom-mentierenden auch die Personalisierung der anlässlich der Kom-mentierung gespeicherten IP-Adresse.
Aufgrund der durch die Log-Files anlässlich aller Serveran-fragen stattfindenden Protokollierung der IP-Adresse kann so-mit schließlich in Gänze nachvollzogen werden, welche Datei-en, Artikel und Grafiken von diesem Benutzer aufgerufen wur-den. In diesen Fällen trifft es somit nicht zu,29 dass dem Betrei-
25 Pahlen-Brandt, Datenschutz braucht scharfe Instrumente, DuD 1/2008, 34 ff.26 Spindler/Nink, in: Spindler/Schuster, Recht der elektronischen Medien, § 11
TMG Rn. 8.27 Freund/Schnabel, Bedeutet IPv6 das Ende der Anonymität im Internet?,
MMR 2011, 495, 496.28 Vgl. Freund/Schnabel, Bedeutet IPv6 das Ende der Anonymität im Inter-
net?, MMR 2011, 495, 496; Spindler/Nink, in: Spindler/Schuster, Recht der elektroni-schen Medien, § 11 TMG Rn. 8a.
29 Dazu allgemein: Krüger/Maucher, Ist die IP-Adresse wirklich ein personen-bezogenes Datum?, MMR 2011, 433, 434.
530 DuD Datenschutz und Datensicherheit 7 | 2012
GOOD PRACTICE
ber einer Webseite in Ermangelung zusätzlicher Informationen die Identifizierung der hinter einer dynamischen IP-Adresse ste-henden Person nicht möglich sei. Um dies zu verhindern, müss-te der Webseitenbetreiber darauf verzichten, die IP-Adresse bei identifizierbaren Angaben ermöglichenden Nutzungen zu spei-chern oder den Kommentierenden die Angabe personalisieren-der Informationen allgemein unmöglich machen.
Webseitenbetreiber wären darüber hinaus jedoch auch gut be-raten, allgemein von der Protokollierung von IP-Adressen im Log-File abzusehen. Schließlich werden IP-Adressen anlässlich von Anfragen unabhängig davon gespeichert, ob es sich bei die-sen um dynamische oder statische IPs handelt.
Allein bezüglich der dynamischen ist die Personenbezogen-heit umstritten, hingegen ist sowohl nach der absoluten als auch nach der relativen Theorie eine statische IP-Adresse regelmäßig als personenbezogenes Datum zu behandeln.30
Für den Fall, dass ein Angebot mittels einer statischen IP-Ad-resse aufgerufen wird, würde es für eine Speicherung an der nicht eingeholten Einwilligung des Benutzers fehlen, so dass es unwei-gerlich zu einem Verstoß gegen den Datenschutz käme.
30 Krüger/Maucher, Ist die IP-Adresse wirklich ein personenbezogenes Da-tum? MMR 2011, 433, 434.
4 Fazit
Von Privatpersonen zum Betrieb von Blogs genutzte Dienste, Pro-gramme und Plug-Ins sind überwiegend so ausgestaltet, dass sie „ab Werk“ die geltenden Datenschutzbestimmungen verletzen.
Selbst eine nachträgliche datenschutzkonforme Konfigurati-on einzelner Dienste, beispielsweise bei den Log-Files mancher Host-Provider oder der IP-Erfassung durch Wordpress, ist oft-mals nicht vorgesehen. Abhilfe ist teilweise gar nicht oder allein durch Applikationen Dritter möglich, die eine Einwilligung des Nutzers ermöglichen oder die Speicherung personenbezogener Daten verhindern.
Diese Problematik kann sich auch bei Zugrundelegung der re-lativen Theorie ergeben, soweit Leserkommentare sowohl die IP-Adresse als auch die Identifizierung ermöglichende Angaben ent-halten, wie beispielsweise einen Link auf die Webpräsenz des Le-sers, oder ein Angebot unter Verwendung einer statischen IP-Ad-resse in Anspruch genommen wird.
Angesichts des Umstands, dass Blogs in der Regel von juristi-schen Laien betrieben werden, muss davon ausgegangen werden, dass ein Großteil der 30.000 deutschsprachigen, mit Wordpress betriebenen Blogs gegen geltendes Recht verstößt. Soweit diese Angebote durch Host-Provider ermöglicht werden, könnte die Annahme einer Pflicht, die eigenen Kunden auf die Erfordernisse des Datenschutzes hinzuweisen sowie technisch eine rechtskon-forme Nutzung der Angebote zu ermöglichen, zielführend sein.
Thomas HutzschenreuterAllgemeine BetriebswirtschaftslehreGrundlagen mit zahlreichen Praxisbeispielen
4., überarb. u. erw. Aufl. 2011. XXVIII, 481 S. Br. EUR 29,95ISBN 978-3-8349-3040-8Einführung in die Betriebswirtschaftslehre, die die Dynamik von Unternehmen und Märkten in den Mittelpunkt der Betrachtung stellt. Teil I stellt Unternehmen und Märkte sowie die Aufgaben der Unternehmensführung in dynamischer Perspektive vor. Teil II schließt die Darstellung von Managementfragen in den betrieblichen Grundfunktionen an. Teil III be-leuchtet funktionsübergreifende Fragen von Strategie, Innovation und Organisation. In der 4. Auflage wurden alle Kapitel überarbeitet und erweitert.
Mit zahlreichen Unternehmensbeispielen und Infoboxen zur Veranschaulichung und Vertiefung
www.wirtschaftslexikon.gabler.de Jetzt online, frei verfügbar!
springer-gabler.de Ä
nder
unge
n vo
rbeh
alte
n. E
rhäl
tlich
im B
uchh
and
el o
der
bei
m V
erla
g.
Einfach bestellen: [email protected] Telefon +49 (0)6221 / 3 45 – 4301
