Sonntag, 3. Juni 2018

Klima der Angst - ist die Datenschutzerklärung der richtige Weg?


Wie heise meldet, laufen schon erste Abmahnungen wegen der gem. § 13 DSGVO  notwendigen Datenschutzerklärungen bei Webseitenbetreibern (bzw. deren Anwälten) ein. Abmahner sind in der Regel Konkurrenten.

https://www.heise.de/newsticker/meldung/DSGVO-Die-Abmahn-Maschinerie-ist-angelaufen-4061044.html
So habe ich es auch vermutet. Die berühmten "Horden von Abmahnanwälten", die im Gebüsch lauern, die sind wegen diverser Schutzmechanismen heute eher  unwahrscheinlich, es sind die Konkurrenten oder Verbände, vor denen sich der Webseitenbetreiber fürchten muss. Und die Datenschutzbehörden, die durchaus fleißig sind, wenn man deren Jahresberichte studiert. Die schreiben keine "Abmahnungen", sondern Bußgeldbescheide. Die werden aber nicht existenzvernichtend sein, da gibt es leider unseriöse, angstmachende  Formulierungen in Aufsätzen. Aber das Bußgeld wird weh tun.


Der Webseitenbetreiber hat also im Grunde zwei Gefahrenquellen:
  • ein Bußgeldbescheid einer Datenschutzbehörde 
  • eine wettbewerbsrechtliche Abmahnung eines Konkurrenten

Ob die fehlerhafte Datenschutzerklärung etwas ist, was ein Konkurrent abmahnen kann (ob also der Verstoß gegen § 13 DSGVO auch ein Verstoß im Sinne des UWG ist und eine wettbewerbsrechtliche Abmahnung ermöglicht) ist gerichtlich noch nicht hunderprozentig geklärt, da sich noch keine oberste Instanz damit befasst hat.

Das war anfangs bei den Impressumsangaben ähnlich.

Derzeit gibt es ein Kammergerichturteil, dass die Anwendbarkeit von UWG (Gesetz gegen den unlauteren Wettbewerb) und damit die Abmahnung durch Konkurrenten ablehnt, und ein späteres OLG-Urteil, dass die Anwendbarkeit bejaht.

Hanseatisches OLG, Urteil vom 27.06.2013 - 3 U 26/12
https://medien-internet-und-recht.de/volltext.php?mir_dok_id=2475

KG Berlin, Beschluss vom 29.04.2011 - 5 W 88/11
https://medien-internet-und-recht.de/volltext.php?mir_dok_id=2325

Übrigens: wenn Sie beim Lesen der Urteile verwirrt sind, weil dort § 13 TMG steht: die Datenschutzerklärung war schon vor dem 25. Mai 2018 notwendig, und zwar gemäß § 13 TMG (Telemediengesetz). Mit dem Tag, an dem die DSGVO Wirkung erlangt, ist dieser Paragraph weggefallen bzw. geht in § 13 DSGVO auf. Das macht die Urteile aber nicht hinfällig. Es ist davon auszugehen, dass die Vorgaben in § 13 TMG und die dazu ergangene Rechtsprechung auch nach dem 25. Mai 2018 noch herangezogen werden können.


Die Tendenz geht also zur wettbewerbsrechtlichen Abmahnfähigkeit. Als beratender Jurist (einen Abgemahnten beratend, wohlgemerkt) wird man sich am Urteil des "Hanseatischen OLG" aus 2013 orientieren, es ist erstens neuer als das des Kammergericht Berlins und zweitens eine Instanz höher. Im übrigen hat es durchaus gute Argumente, die sich wohl auch bei anderen Gerichten durchsetzen könnten.

Zugegeben - das OLG-Urteil ist nicht allgemein verbindlich. Ein anderes OLG in einem anderen Gerichtsbezirk könnte  anders entscheiden, und vor allem der BGH als oberste Instanz könnte irgendwann anders entscheiden.  Aber das hilft uns Webseitenbetreibern nicht viel - im Bereich wettbewerbsrechtlicher Abmahnungen gilt in der (Anwalts- wie Unternehmens-)Praxis schon  seit Jahrzehnten der Grundsatz, lieber nachzugeben, weil ein Prozess wegen des meist hohen Kostenrisikos nicht lohnt. Es werden deshalb nur wenige sagen, ich fechte das aus.

Es bleibt also dabei: es droht sowohl Gefahr von den Behörden (Bußgeldbescheid) als auch von Wettbewerbern (Abmahnungen).

Unklare Rechtslage bezüglich des Inhalts der Datenschutzerklärung

Noch immer steht nicht fest, wie genau Datenschutzerklärungen bezüglich der einzelnen Punkte formuliert sein müssen. Die kursierenden Muster sind im Grunde Experimente, denn die Vorgaben im Gesetz sind pauschal und wie das in der Umsetzung auszusehen hat, ist offen - und bleibt somit  Risiko des Bürgers. Erst die künftige Rechtsprechung wird an den Details feilen und nach und nach ein klareres Bild abgeben.

Aber wegen der vielen technischer Besonderheiten eines Webseitenbetriebs und ihrer Einbindungselemente wird es nie ein Urteil geben, das ALLE Fragen löst, also wird es wieder mal eine jahrelange Entwicklung geben, bis sich dieses klare Bild ergibt, ähnlich wie schon früher bei Impressumspflichten. Und solche flankierenden Fragen wie "muss man mit dem Webhoster einen Datenverarbeitungsvertrag schließen?" kommen auch noch dazu (muss man übrigens, so skurril es klingt, jedenfalls nach Meinung von Datenschutzbeauftragten, siehe hier)

Wer mal die Datenschutzerklärungen der einzelnen Ministerien ansieht, wird erstaunt feststellen, dass auch diese alle unterschiedlich sind - übrigens oft viel pauschaler, als die kursierenden Muster und Vorschläge, aber darauf kann sich der "kleine Mann" nicht verlassen.Jedenfalls experimentieren auch die Ministerien mit der Umsetzung des 13 DSGVO.

Klima der Angst


So hat man mit dem gut gemeinten Datenschutz ein Klima der Angst geschaffen, weil man neben den eigentlichen Schutzvorschriften (die Vorschriften, die bestimmte Datenverarbeitungen erlauben oder verbieten) eine rein formale Vorschrift aufstellte, die vom Webseitenbetreiber Datenschutzerklärungen verlangt - und diese Pflicht auch  noch bußgeldbewehrt und sie der Sanktionsgefahr von Abmahnungen aussetzt hat.

Dabei ist wirklich zweifelhaft, ob mit den Erklärungen alleine sich irgend etwas ändert.

Der tausendfach gelesene Hinweise zu Cookies hat jedenfalls nichts daran geändert, dass es die cookies gibt. Man wird nur darauf hingewiesen. Ändert sich dadurch unser Surfverhalten? Wohl kaum. Nur eine lästige, formale Pflicht, und das alles mit der Gefahr von Bußgeld oder Abmahngebühren.

Die Datenschutzerklärungen - und das gilt für fast alle, die ich bisher studiert habe - dürften dem Datenschutz nichts bringen. Der Webseitenleser wird sie ignorieren. Neben dem Impressum gibt es jetzt eine Seite Datenschutzerklärung, na und?
  • Die wenigsten Besucher einer Webseite werden diese Seite suchen und studieren
  • Die wenigen, die sie durchlesen, werden sie nicht wirklich verstehen.
  • Und die wenigen davon wiederum, die sie verstehen, werden trotzdem weiter surfen.
Dabei gibt es natürlich wirklich Handlungsbedarf beim Datenschutz. Dass z.B. die Einbindungs-Snippets von facebook weit mehr machen, als nur einen teilen-Button zur Verfügung zu stellen (siehe hier), wird dem einen oder anderen Webseitenbetreiber bewusst geworden sein - zumindest, wenn er die Datenschutzerklärung selbst erarbeitet hat und nicht nur ein Muster abschrieb.

Auch das Einbinden von youtube-Videos lässt ein gewisses Tracking zu, weshalb ein erweiterter Datenschutzmodus sinnvoll ist.

Und dass mit der Verwendung von Newsletter-Diensten, Umfrage-Diensten und anderen einbindbaren Elementen ein paar Daten in dritte Hände gegeben wird (was ich eher gering bewerte) und aber auch Tracking-Möglichkeiten eröffnet (was schon ärgerlicher ist), auch das ist eine gute Erkenntnis für Webseitenbetreiber.  Vielleicht verzichtet er jetzt  auf das eine oder andere, auch wenn er damit im Vergleich zu den konkurrierenden Seiten im Nachteil ist!?

Der Witz dabei aber ist: er darf die Elemente ja weiterhin einbinden, das ist gar nicht verboten worden. Er soll nur eine Erklärung schreiben und darauf hinweisen. Eine Erklärung, die letztlich kaum etwas ändert.


Und für diesen Formalismus wird der Webseitenbetreiber der Gefahr von Sanktionen ausgesetzt.  Das hätte man anders machen müssen.



Hinweis: der Autor ist (nicht auf IT spezialisierter) 
Rechtsanwalt im Ruhestand und betreibt Webseiten seit 1998.

  © Blogger template 'Fly Away' by Ourblogtemplates.com 2008

Back to TOP