Rechtstipp des Monats – Im Visier des Datenschutzes – Google Analytics und der »Gefällt mir«-Button

Redaktion   //   Dezember 5, 2011   //   0 Kommentare

Die aktuelle Reihe des Making Games Rechtstipps befasst sich mit dem Datenschutz als ein Erfolgsfaktor im Unternehmen. Im dritten Teil der Serie werden einige wichtige Sonderthemen zum Datenschutz im Unternehmen beleuchtet. So hat etwa das Analysetool Google Analytics in den letzten Jahren für mehr Schlagzeilen als die meisten prominenten Persönlichkeiten gesorgt und auch der »Gefällt mir«-Button von Facebook dürfte den Unternehmen, die kürzlich exemplarisch von Datenschützern in Schleswig-Holstein abgemahnt wurden, schon nicht mehr so sehr gefallen. Der letzte Making Games Beitrag in 2012 wird diesen Geschehnissen auf den Grund gehen und Handlungsempfehlungen geben.

Wie wir bereits in Teil 1 unserer Serie zum Datenschutz erläutert haben, gilt nach deutschem Datenschutzrecht ein generelles Verbot zum Erheben, Verarbeiten und Nutzen von personenbezogenen Daten, es sei denn, der Betroffene hat zuvor eingewilligt oder eine Rechtsgrundlage erlaubt es. Darüber hinaus ist in einer Datenschutzerklärung über jede Erhebung, Nutzung und Weitergabe dieser Daten zu informieren und über den Zweck der Datenerhebung aufzuklären. Statistiken zu Nutzerverhalten haben anonymisiert zu erfolgen und der Nutzer muss dem Vorgang widersprechen können.

 

Google Analytics – das Schreckgespenst des Deutschen Datenschutzrechts

Durch den Einsatz von Google Analytics werden Daten des Webseiten-Besuchers abgegriffen, die nicht nur vom Betreiber selbst analysiert werden können, sondern letztlich auch auf Google-Servern in den USA landen und dort verarbeitet werden. Die Speicherung deutscher Nutzerdaten im Ausland ist nach deutschem Recht unzulässig, so auch die Kritik der Datenschützer. Gestritten wird zudem über die Frage, ob die von Google Analytics erfasste IP-Adresse ein personenbezogenes Datum ist, für welches das Bundesdatenschutzgesetz (BDSG) einschlägig ist. Dagegen spricht der fehlende konkrete Personenbezug. Dafür spricht der Aspekt des umfassenden Schutzes vor Missbrauch, der bereits bei der bloßen Möglichkeit gegeben sein soll.

Auch der Bundesdatenschutzbeauftragte und das Bundesjustizministerium sehen die IP-Adresse als personenbezogenes Datum. Demzufolge müsste der Webseiten-Besucher einer Datenverarbeitung durch Analysetools vor bzw. mit dem Aufrufen der Seite ausdrücklich zustimmen. Allein der Besuch der Webseite reicht für eine ausdrückliche Zustimmung jedenfalls auch dann nicht, wenn in den Datenschutzbedingungen der Webseite formell auf den Einsatz des Analysetools hingewiesen wird.

Die Datenschutz-Aufsichtsbehörde in Hamburg hat nicht locker gelassen und im Oktober dieses Jahres nun eine Einigung mit Google Deutschland erzielen können, wodurch ab sofort ein datenschutzkonformer Einsatz für Google Analytics möglich ist. Dafür müssen Webseiten-Betreiber aber einiges tun:

 

1. Abschluss eines Auftragsdatenverarbeitungsvertrages: Wer Google Analytics in Zukunft oder weiterhin nutzen möchte, muss einem von Google vorformulierten sog. Vertrag zur Auftragsdatenverarbeitung schriftlich zustimmen. Weil die Verarbeitung der Daten durch Google im Auftrag des Webseiten-Betreibers erfolgt, ist der Betreiber gem. § 11 BDSG als Auftraggeber anzusehen und zur Kontrolle und Dokumentation der Datenverarbeitung durch Google verpflichtet.

2. Ergänzung der Datenschutzerklärung: Webseiten-Betreiber müssen mittels einer Datenschutz-erklärung die Nutzer ihrer Internetseite über die Verarbeitung personenbezogener Daten unter Verwendung von Google Analytics hinweisen. Auf keinen Fall fehlen darf der Hinweis an den Nutzer gegen die Datenerfassung durch Google Analytics widersprechen zu dürfen. Zu empfehlen ist aus Sicht der Datenschützer auch der Einsatz eines Deaktivierungs-Add-Ons. Die aktuelle Vorlage für den Hinweistext findet man in den Google Analytics Bedingungen unter Ziffer 8.1.

3. Anpassung des Tracking-Codes: Webseiten-Betreiber müssen Google durch entsprechende Einstellungen im Programmcode der Software mit der Kürzung von IP-Adressen beauftragen. Der im Rahmen von Google Analytics verwendete Tracking-Code ist hierfür um die IP-Masken-Funktion »_anonymizeIp()« zu ergänzen.

4. Löschung von Altdaten: In der Vergangenheit bereits mit Google Analytics erhobe Daten sind zu löschen. Dafür ist es erforderlich, das Analytics-Profil neu zu eröffnen und ggf. einen neuen Tracking-Code oder eine neue sog. Web-Property-ID zu verwenden.

5. Kontrollieren: Webseiten-Betreiber sollten sich auch nach der Umstellung nicht zurücklehnen, sondern stets darauf achten, ob die von Google festgelegten und sich ggf. ändernden Nutzungsbedingungen eingehalten werden.

Wer auf Google Analytics schwört, wird den Aufwand betreiben müssen, um das Tool datenschutzkonform einzusetzen. Alternativ dazu bleibt natürlich noch der Anbieterwechsel.

 

»Gefällt mir ... Gefällt mir nicht mehr« – Facebook in der Kritik

Das inzwischen wohl bekannteste soziale Netzwerk Facebook ist kein bisschen weniger in der Kritik der Datenschützer. Nicht nur dass Facebook alles dauerhaft speichert, was der Nutzer einmal preisgegeben hat, ermöglicht es zudem,umstrittene Funktionen wie etwa die Gesichtserkennung auf eingestellten Fotos. Die Grundregeln des deutschen Datenschutzrechts hält der Anbieter jedenfalls nicht ein.

Dennoch bleiben derzeit ca. 21 Millionen deutsche Nutzer treu und schöpfen eine Vielzahl der angebotenen Funktionen aus, wie auch die Möglichkeit, einem neuen Beitrag auf der Pinnwand einer Privatperson oder eines Unternehmens ihr Wohlgefallen durch den »Gefällt mir«-Button auszudrücken. Der Button selbst kann von Unternehmen, die eine Fanseite bei Facebook betreiben, auf ihrer Webseite über ein Social Media Plugin eingebunden und so als Marketingmaßnahme genutzt werden.

Durch den Klick auf den Button werden personenbezogene Daten gesammelt, wie auch die IP-Adresse der Besucher. Der Betreiber ermöglicht so, dass die Nutzerdaten von Facebook erfasst und gespeichert werden können. Ist der anklickende Besucher zudem gerade bei Facebook eingeloggt, erfährt Facebook auch die IP-Adresse des Besuchers, die Anzahl seiner Seitenbesuche usw. Auch das Verhalten nicht angemeldeter Benutzer kann durch Setzen eines Cookies über längeren Zeitraum von Facebook überwacht werden.

Datenschützer argumentieren, dass der »Gefällt mir«-Button jedenfalls für die Nutzung der Webseite nicht erforderlich sei, erst recht nicht bei Nicht-Facebook-Mitgliedern. Für die durch den Einsatz des Buttons erfolgten Datenschutzvergehen von Facebook sei daher nach Ansicht der Datenschützer auch der Betreiber der Webseiten verantwortlich. Darüber lässt sich sicherlich streiten, aber klar ist, dass der Anbieter einen Verweis auf die Weitergabe der Daten an Facebook im Rahmen der Datenschutzbedingungen auf der Webseite keinesfalls vergessen darf. Ein gutes Muster für die Aufklärung der Webseiten-Besucher über den Einsatz solcher Plugins findet man bei spreerecht.de.

Um auf den »Gefällt mir« Button – jedenfalls bis zur Klärung der Rechtslage in Deutschland – nicht verzichten zu müssen, ist jedenfalls der Einsatz der sog. »2-Klick-Button«-Lösung zu empfehlen. Hierdurch wird erst nur die Grafik des Buttons auf der Webseite gezeigt, klickt der Nutzer darauf, wird er über die Datenübermittlung an Facebook aufgeklärt und es wird die Einwilligung verlangt. Erst danach wird der eingebundene Button geladen. Problematisch war hieran kürzlich noch, dass Facebook in den Nutzungsbedingungen eigentlich untersagte, das reine Logo des Buttons oder überhaupt des Facebook Logos zu verwenden.

8. You must not use or make derivative use of Facebook icons, or use terms for Facebook features and functionality, if such use could confuse users into thinking that the reference is to Facebook features or functionality.

Nach einigem hin und her sowie Beschwerden von Facebook hat sich heise.de zufolge die Facebook-Sprecherin in einem Tweet dahin gehend geäußert, dass der 2-Klick-Button nicht ideal, aber auch kein Problem sei. Nur ein Like-Button, der grafisch so tut, als ob er einer ist, sei nicht ok.

 

Datenschutzthemen bei Spieleanbietern

Auch Anbieter von Computerspielen, insbesondere Onlinespielen, haben mit den im Beitrag skizzierten Themen Nutzerdatenanalyse und Social-Media-Marketing im Alltag zu tun. Darüber hinaus erfolgt beim Beitrieb von Onlinespielen regelmäßig eine automatisierte Datenverarbeitung. Bei Einordnung der IP-Adresse in die Gruppe der personenbezogenen Daten sind die Regelungen des BDSG für Betreiber von Onlinespielen einschlägig, sobald IP-Adressen bzw. sonstige persönliche Daten wie Namen oder E-Mail-Adressen von Spielern übermittelt, gespeichert und erhoben werden. Für die Goldenen Regeln des Datenschutzes ist daher auf Teil 1 der Serie (veröffentlicht Oktober 2011) zu verweisen.

Datensparsamkeit, Trennung von Daten, die für die Registrierung zum Spiel erforderlich sind und solcher, die dem Vertrieb des Spiels dienen sowie transparente und leicht zugängliche Kundeninformationen über den Umgang mit seinen Daten, sind daher die obersten Gebote im Unternehmen. Hierzu gehört es auch, dass über Lizenz- und Nutzungsbedingungen generell und auch dann, wenn darin Datenschutzinhalte abgebildet sind, dem Kunden vor dem Kauf oder Download zugänglich zu machen. Nur dann gelten Sie als wirksam in das Vertragsverhältnis einbezogen. So sieht sich derzeit ein bekannter Spiele-Publisher dem Vorwurf der Verbraucherzentrale Bundesverband ausgesetzt, wichtige Kundeninformationen auf der Verpackung des Spiels nicht deutlich vorgehalten zu haben und sogar erst nach Kauf bzw. Installation des Spiels entscheidende Hinweise über die Voraussetzungen zur Nutzung des Spiels gegeben zu haben. Dies dürfte den gesetzlichen Anforderungen nicht entsprechen.

Eine effektive Absicherung der Nutzerdaten durch geeignete technische Schutzmaßnahmen ist vor allem bei Anbietern von Onlinespielen auch in Bezug auf die Bezahl-Daten der Nutzer wichtig, um Angriffe von Eindringlingen und Datenmissbrauch zu vermeiden.

 

Fazit

Die Vielzahl der datenschutzrechtlichen Vorgaben und die stetigen Veränderungen schrecken verständlicherweise viele Unternehmen ab und verleiten dazu, nachlässig und inkonsequent mit dem Datenschutz im Unternehmen und im Verhältnis zum Kunden umzugehen. Meine Empfehlung ist, sich frühzeitig mit den Grundregelungen des Datenschutzrechts vertraut zu machen, eine Datenschutz-Policy im Unternehmen aufzustellen und diese umzusetzen sowie regelmäßig die aktuellen Entwicklungen im Datenschutzrecht zu beobachten.

 


 

 

 

 

Rechtsanwältin Janine Smitkiewicz, LL.M.
Die Autorin ist Partnerin der Kanzlei Auer & Smitkiewicz, Partnerschaft von Rechtsanwälten in München. Ihre Tätigkeitsschwerpunkte liegen im Gewerblichen Rechtsschutz und Urheberrecht mit Fokus auf die Rechtsberatung rund um die Themen Games, Software und Internet.

 

  

 

 

 

 

Rechtsanwalt Thomas Auer
Der Co-Autor ist Partner der Kanzlei Auer & Smitkiewicz, Partnerschaft von Rechtsanwälten in München. Seine Tätigkeitsschwerpunkte liegen im Gesellschaftsrecht, Erbrecht und dem Recht der Unternehmensnachfolge sowie dem Immobilienrecht.

Informationen über ihre Kanzlei finden Sie unter www.auer-smitkiewicz.de.

 

 

 

 

Wichtiger Hinweis
Der vorliegende Rechtsbeitrag stellt weder eine Rechtsberatung dar noch ersetzt er die Beratung durch einen Rechtsanwalt, bei der die Besonderheiten des Einzelfalls berücksichtigt werden können. Der Beitrag ist abgestimmt auf die der Autorin bei der Veröffentlichung bekannte Rechtsprechung und die herrschende Meinung in der einschlägigen Rechtsliteratur. Es ist nicht auszuschließen, dass einzelne Textpassagen im Lichte eines unbekannten oder nicht veröffentlichten Urteils zu beanstanden sind. Bitte informieren Sie sich über derartige Umstände oder holen im Zweifel fachkundigen Rat ein.

 

 

Kommentare

Einen Kommentar hinterlassen

Um einen Kommentar hinterlassen zu können, müssen Sie sich zuerst anmelden oder registrieren.

» zur Anmeldung
» zur Registrierung