Datenschutzbehörde: Jede Webseite und Online-App benötigt eine Datenschutzerklärung

Jedem Webseitenbetreiber oder App-Anbieter dürfte heutzutage klar sein, dass zu einem rechtskonformen Angebot auch eine Datenschutzerklärung gehört. Also ein Hinweis und Informationen darüber, wie personenbezogene Daten verwendet werden. Für die Nutzung von Analysediensten oder das Angebot von Newslettern dürfte dies sofort einleuchten. Dort wird aus der Sicht des Anbieters aktiv mit personenbezogenen Daten umgegangen. Doch wie sieht es aus, wenn man „nur“ eine Webseite betreibt. Ohne Analysedienst, ohne Newsletter, ohne Bestellmöglichkeit?

Indirekt hat sich zu dieser Frage das Landesamt für Datenschutzaufsicht in Bayern (BayLDA) (die Aufsichtsbehörde für den nicht-öffentlichen Bereich) in ihrem Tätigkeitsbericht für 2013/2014 (PDF) geäußert. Mit nicht zu unterschätzenden Folgen für die Praxis und jeden, der eine Online-App oder Internetseite betreibt.

Die allgemeine Informationspflicht im TMG
Nach § 13 Abs. 1 S. 1 TMG gehört zu der Informationspflicht eines Webseiten- oder App-Betreibers, dass er Nutzer „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten … in allgemein verständlicher Form“ unterrichtet. Soweit so gut. Werden also personenbezogene Daten verarbeitet, muss hierüber unterrichtet werden.

Die Neverending Story: IP-Adresse
Nun gilt es jedoch zu beachten, dass insbesondere die Aufsichtsbehörden die IP-Adresse als personenbezogenes Datum i. S. d. § 3 Abs. 1 BDSG ansehen (hierauf verweist auch das BayLDA, S. 56). Diese Ansicht ist freilich nicht unumstritten, wird aber von den Behörden (i.Ü. auch einigen Gerichten und Ansichten in der juristischen Literatur) so vertreten. Nun muss man sich jedoch gleichzeitig vergegenwärtigen, dass die Erhebung und eventuell auch Verwendung der IP-Adresse eines Endgerätes als technische Steuerungsinformation zur Übertragung von Informationen im Internet zwischen dem Diensteanbieter und seinem Nutzer schlicht erforderlich ist. Sie dient als Ziel von Datenpaketen. Um im Netz zu kommunizieren, bedarf es also einer IP-Adresse.

Hinweise in der Datenschutzerklärung erforderlich
Man ahnt was nun folgt. Das BayLDA weist nun (konsequent) in seinem Tätigkeitsbericht darauf hin, dass sich

jeder Diensteanbieter … mit der Thematik einer Datenschutzerklärung im Internetauftritt bzw. in der mobilen (Online-)Applikation zu beschäftigen hat, selbst wenn ein Nutzer nicht aktiv Daten eingeben kann und auch keine Cookies o. ä. Verfahren genutzt werden.

Nach dem BayLDA muss daher eine Datenschutzerklärung zumindest zu der Erhebung und möglichen Verwendung der IP-Adresse (etwa einer Speicherung in den Log-Dateien) selbst dann entsprechende Informationen beinhalten, wenn ansonsten keine personenbezogenen Daten erhoben oder genutzt werden. Kurz gesagt: jede Internetseite oder (Online-)App bedarf zumindest einer „Mini-Datenschutzerklärung“ mit Blick auf die IP-Adresse.

Mögliche Folgen bei Nichtbeachtung
Was geschieht, wenn man diese Hinweise der Behörde nicht beachtet? Möglicherweise nichts. Zumindest solange eine Datenschutzbehörde auf das Fehlen der Datenschutzerklärung nicht aufmerksam (gemacht) wird. Nach dem Gesetz handelt es sich bei einem fehlenden oder aber fehlerhaften Hinweis zum Umgang mit personenbezogenen Daten jedoch grundsätzlich um eine Ordnungswidrigkeit. Das BayLDA weißt in seinem Tätigkeitsbericht darauf hin, dass gem. § 16 Abs. 2 Nr. 2 TMG eine Ordnungswidrigkeit begeht, wer entgegen § 13 Abs. 1 S. 1 oder 2 TMG den Nutzer vorsätzlich oder fahrlässig nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig informiert.

Zudem besteht das theoretische Risiko, von Wettbewerbern abgemahnt zu werden. Das Oberlandesgericht Hamburg hat bereits 2013 (Az. 3 U 26/12) entschieden, dass es einen abmahnfähigen Wettbewerbsverstoß darstellt, wenn ein Webseitenbetreiber personenbezogene Daten von Nutzern erhebt, jedoch keine Informationen über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten in allgemein verständlicher Form zu Beginn des Nutzungsvorgangs erteilt (hierzu mein Blogbeitrag).

Fazit
Potential für eine Abmahnwelle? Ich denke nicht. Auch wenn die Auffassung des BayLDA, bei Annahme des Personenbezugs der IP-Adresse von einer Informationspflicht auszugehen, konsequent erscheint, so existieren ebenfalls veritable Gegenauffassungen, die eine IP-Adresse nicht generell als personenbezogen einstufen. Zudem hatte ich erst letzte Woche im Rahmen der Abmahnung wegen Verwendung des Like-Buttons auf Webseiten darauf hingewiesen, dass absolut datenschutzrechtlich konformes Handeln heutzutage im Internet nur schwer erreichbar ist. Dies gilt im Zweifel auch für einen abmahnenden Wettbewerber.

Unabhängig hiervon fragt man sich freilich, was diese Information am Ende dem Webseitenbesucher oder App-Nutzer an Mehrwert und mit Blick auf den Schutz personenbezogener Daten tatsächlich bringt? Die Aussage ist z. B. allein: „Die IP-Adresse wird erhoben und auf unseren Servern gespeichert, weil es aufgrund der technischen Gegebenheiten des Internets einfach nicht anders geht“. Ein Gewinn an informationeller Selbstbestimmung geht damit meines Erachtens nicht einher. Außer die Alternative, Offline zu bleiben. Datenschutz im Jahre 2015.

17 thoughts on “Datenschutzbehörde: Jede Webseite und Online-App benötigt eine Datenschutzerklärung

  1. Es ist abwegig, die IP-Adresse als “personenbezogen” anzusehen. Dies könnte sich freilich mit IPv6 möglicherweise ändern, doch eine IPv4-Adresse ist nicht für sich allein individuallisierbar. Daß freilich eine Individualisierbarkeit nach einigen (weiteren) Schritten möglich werden kann, muß eingeräumt werden; doch sollte demgemäß die Abgrenzung auch genau davon abhängig gemacht werden.

    Bei allem “Verbraucherschutz” und aller Regelungswut des (a) deutschen Gesetzgebers und (b) demokratisch in keinster (!!) Weise legitmierten europäischen Verordnungsgebers sollte doch vor allem bitte einmal “die Kirche im Dorf” bleiben.

    Übrigens: wo ist denn bitte der Warnhinweis (zB Warnansage vor Gespächsbeginn?) bei Telefonaten mit Verwendung einer CallerID…

    Ja, eben.

  2. Es ist abwegig, die IP-Adresse als “personenbezogen” anzusehen. Dies
    könnte sich freilich mit IPv6 möglicherweise ändern, doch eine IPv4-Adresse ist nicht für sich allein individuallisierbar. Daß freilich
    eine Individualisierbarkeit nach einigen (weiteren) Schritten möglich
    werden kann, muß eingeräumt werden; doch sollte demgemäß die Abgrenzung
    auch genau davon abhängig gemacht werden.

    Bei allem “Verbraucherschutz” und aller Regelungswut des (a) deutschen Gesetzgebers und (b) demokratisch in keinster (!!) Weise legitmierten europäischen Verordnungsgebers sollte doch vor allem bitte einmal “die Kirche im Dorf” bleiben.

    Übrigens: wo ist denn bitte der Warnhinweis (zB Warnansage vor Gesprächsbeginn?) bei Telefonaten mit Verwendung einer CallerID…

    Ja, eben.

    • Rechtlich betrachtet ist es ganz einfach. Der Gesetzgeber sagt in § 3 Absatz 1 BDSG, was ein pb Datum ist. Ist ein Datum auf eine Person beziehbar (für irgendwen), dann ist es “personenbezogen” im Sinne des BDSG. Punkt.

      Ist ja bei amtlichen Kfz-Kennzeichen auch so. Grundsätzlich kann nur das Kraftfahrtbundesamt auflösen, mit Tricks (z.B. Anruf bei Xarglass) geht das auch so.
      Wer anders argumentiert, hat meist leider nicht genügend Ahnung davon, wie einfach Dritte (Nicht der TK-Provider) den Bezug einer dynamischen IP-Adresse zu einer natürlichen Person herstellen können.
      Jede andere Sichtweise ist eine Verbiegung von Tatsachen bzw. das bewusste Verschließen der Augen vor denselben.

      • Es müsste heißen unabhängig davon: Wer anders argumentiert …

        Denn wie geschrieben, kommt es in datenschutzrechtlicher Sicht einfach nicht drauf an, wieviele Schritte erforderlich sind, oder wer den Personenbezug herstellen bzw. die IP-Adresse auflösen kann, sonder nur OB.

  3. Das wird noch viel schlimmer, bis selbst Anwälte keine Webseite mehr rechtssicher betreiben können.
    Zum Beispiel hier:
    Mein Request-Blocker zeigt mir Anfragen auf wp.com, fonts.googleapis.com, twitter.com und vgwort.de
    Ich werde zwar in der Datenschutzerklärung auf die Statistik von wordpress.com hingewiesen, nicht aber auf die 4 Anfragen von wp.com, und schon gar nicht vor dem Nutzungsvorgang.
    Von fonts.googleapis.com lese ich nichts in der Datenschutzerklärung. Nun, hätte ich keinen Request-Blocker, dann wüsste Google, dass ich diese Seite aufgerufen habe und welche Seiten ich mir noch angeschaut habe, denn jedesmal geht ein Request an Google.
    Aber nicht nur an diese Adresse, sondern auch an gstatic.com, sobald man die erste freigeschaltet hat.

    dejure.org taucht zwar hier und da auf aber scheints nicht in der Datenschutzerklärung, da finde ich keine Erklärung dazu.

    Abgesehen von all den Dingen die im Background ablaufen und von denen außen keiner etwas weiß.

    Was will ich damit sagen?
    Es wird unbeherrschbar und unvereinbar, man kann Datenschutz und Internet nicht mehr zusammenbringen, es gibt keinen vernünftigen Konsens und selbst Juristen sind hier fast immer überfordert.
    Es kommt der Tag, da nur große Konzerne aus dem Ausland mit einer Armee an Anwälten noch eine Webseite in Deutschland betreiben können, weil wir unser Nest mit dem Bürokratismus ohne Verstand beschmutzt und unbewohnbar gemacht haben.

    • Danke für die vielen Hinweise. Es ist in der Tat nicht unbedingt leicht, datenschutzrechtlich voll konform zu handeln und dabei nützliche Features zu implementieren. Wir müssen (zumindest in Bezug auf die Infos in der Datenschutzerklärung) unterscheiden, ob meinerseits (als Betreiber der Webseite) personenezogene Daten verarbeitet (also zB gespeichert oder weitergegeben werden). So weise ich ja auf Tweitter und auch den Pixel der VG Wort hin. Ebenso auf die Stats von WordPress. Ich kontrolliere meine Seite auch immer “brav” mit Gohstery und was mir dort angezeigt wird (WordPress Stats, VG Wort, Twitter), das decke ich ab. Beste Grüße

      • Ghostery alleine reicht nicht aus, um den größten Teil zu entdecken, zusätzlich ein Request-Blocker ist ganz gut und im Zweifel noch einen Cookie Manager, um zu sehen was in den Cookies so drin steht.

        Wenn es denn so wäre, dass man sagt, in die Datenschutzerklärung kommt nur das, was man selbst als Seitenbetreiber in der Hand hat und an Daten sammelt, dann wäre das ja noch nicht so schlimm, sondern sogar logisch.
        Aber was kann ich für die Server Logfiles?
        Oder, dass WordPress mit Google-Schriften arbeitet? Gravatar wurde hier scheints ausgeblendet, ich finde es hier nicht in der Blockliste.
        Irgendwann wird einer kommen und die Plugins, die sich oft im Seitenquelltext verewigen, auflisten und in der Datenschutzerklärung danach suchen, ob alles fein säuberlich dokumentiert ist.
        Manche von denen telefonieren nämlich nachhause oder sammeln selbst fleißig Daten oder übermitteln die irgendwohin.
        Auch die Themes muss man da im Auge behalten.

        Die Technik läuft aber dahin, dass es nicht mehr um die Frage nützlicher Feature-Plugins geht, sondern um die Frage, “Läuft die Seite oder läuft sie nicht?”, ohne dass man Probleme mit dem Datenschutz bekommt.
        Inhalte werden aus der Cloud heraus bereit gestellt und Scripte kommen von Seiten wie Googleapis.com und das Design kommt nochmal von wo anders her.

        Ich glaube sogar, es ist gar nicht möglich, datenschutzrechtlich voll konform zu sein. Der Datenschutz stammt aus einer lange vergangen Zeit, im IT-Zeitalter schon vor vielen Generationen.

        Wie soll ich jemanden vor Nutzung einer Seite über “Datenschutz” (die ja gar nicht geschützt sondern gesammelt werden) informieren, wenn er dazu erst die Seite besuchen muss und sie folglich schon nutzt?
        Wie dokumentiere ich, dass jemand nicht gespeichert werden möchte, wenn ich gar nichts über ihn speichern darf?
        Wie kann ich auf Verlangen Daten vorzeigen, wenn ich gar nicht weiß (z.B. IP), von wem die stammen?
        Wie kann ich auf Verlangen Daten löschen, auf die ich gar keinen Einfluss und keinen Zugriff habe?
        Wie bringe ich den Spagat zwischen dem zeitweilig hirnlos ausufernden Datenschutz-Erklärungen auf der eigenen Seite und der Vorratsdatenspeicherung seitens der Internet-Provider (des Besuchers) zusammen?
        Und wie erkläre ich das Thema, das weder manche Richter noch viele Juristen und oft auch Fachleute nicht verstehen, in allgemein verständlicher aber ausführlicher Form dem Seitenbesucher?

        Ich finde den Artikel gut, aber er deckt nur gerade mal die Spitze eines Eisberges ab, wenn überhaupt. Das sollte mal viel tiefer gehend betrachtet werden und daraus dann das Ziel, wohin uns dieser Weg führt.
        Ich sage mal schon Sackgasse.
        Ebenfalls beste Grüße.

        • Ich fürchte, die Antwort wird Ihnen nicht gefallen, aber ja. Der Gedanke hinter den Informationenspflichten zum Umgang mit personenbezogenen Daten ist, dass man als Verantwortlicher darüber aufklärt, wie personenbezogene Daten entweder direkt selbst oder aber im Auftrag durch andere verarbeitet werden. Also über jene Vorgänge die man, wie Sie schreiben, “selbst in der Hand hat”.
          Da bin ich bei Ihnen: in allgemin vesrtändlicher Form aufzuklären und dazu noch am besten auf einer Seite (ohne zu scrollen) ist praktisch nur schwer möglich. Irgendjemanden wird man immer “enttäuschen”, entweder die Nutzer, weil sie nichts verstehen oder aber die Juristen/Aufsichtsbhörden/Verbraucherschützer, weil die Informationen zu lang sind und daher nicht verständlich sind und nicht gelesen werden.
          Viele Grüße

          • Hallo Carlo! Vielen Dank für den hervorragenden Blogbeitrag! Falls andere User auch die Belegstelle für die Aussage der Aufsichtsbehörde suchen, würde es deren Suche vereinfachen, wenn Du Für andere User noch die Seitenzahl einfügst, auf der das Zitat: “mit der Thematik einer Datenschutzerklärung im …” zu finden ist! S. 56 ;-)

            Beste Grüße

            Michael

  4. Naja, bei mir kommt (mit FF + Hilfsmitteln) davon nichts durch (auch kein WP cookie) und ich brauche das auch nicht, um hier problemlos zu lesen oder zu posten.

    Wir könnten ja ne kleine Diskussion zu dieser Site führen, ob sie denn korrekt ist (ist aber unpraktisch, wenn Antworten dann im Flattersatz eingerückt werden). Naja.

    • Über Diskussionen auf seiner Seite freut sich doch jeder Blogbeitreiber. Daher gerne. Ich wage nur die Prognose, dass wir eventuell zu keinem einstimmigen Ergebnis kommen werden. Viele Grüße

  5. Super Blog-Eintrag. Die Datenschutz-Aufsichtsbehörde in BW hatte ebenfalls 2013 darauf hingewiesen.

    Siehe http://www.baden-wuerttemberg.datenschutz.de/31-taetigkeitsbericht-datenschutz-in-der-wirtschaft/#A10.3.

    So ganz sinnlos ist die Unterrichtung zum Umgang mit IP-Adressen nicht. Insbesondere die Speicherung der IP-Adresse in den Logfiles ist ein wichtiges Thema!

    Als externer Datenschutzbeauftragter habe ich oft mit diesen Fragestellungen zu tun. Und allen Kunden rate ich: Die Logfiles sollten besser keine IP-Adresse beinhalten. (Notfalls maximal 7 Tage speichern… wie die Telekom auch.)

    • Das lässt sich nicht verallgemeinern.
      IP’s werden so lange gespeichert, wie es nötig ist. Notfalls bis zum Ende aller Tage.
      Was die Telekom macht, interessiert bei Webseiten nicht.

  6. Moin,

    ich sehe das etwas anders. Ursprünglich war eine IP-Adresse kein personenbezogenes Datum. Das hat sich geändert, als die ISPs angefangen haben, dynamische IPs zu vergeben und aufzuzeichnen, wann welcher Kunde welche IP hatte. Diese Methode ist heutzutage allgemeiner Standard – auch bei v6 – und deshalb IST die IP ein personenbezogenes Datum. Wäre sie das nicht, hätte auch niemand ein Problem mit der Voratsdatenspeicherung.

    Ansonsten ist der Umgang mit dem Problem an sich sehr einfach: keine IPs speichern. Die sind zur Fehlersuche heutzutage ohnehin völlig nutzlos. Man kann auch keine Angreifer oder Spammer über deren IP mehr blocken, weil die im nächsten Moment eine andere haben können.

    Gruss,
    Tom

    • Komisch, ich kann Spammer und Hacker ganz gut über IP blocken.
      Und nur weil es DDoS gibt, heißt es nicht, dass DoS ganz ausgestorben ist.

      Ich habe durch einen speziellen Kontaktformular Spamfilter herausgefunden, dass diese Belästigungen meistens in Wellen von jeweils einer IP-Adresse kommen und insgesamt nur wenige benützt werden.
      Bei nächsten Angriffen wird diese IP gleich vom Zugriff ausgesperrt, ohne dass sie Server-Ressourcen beanspruchen können.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>