Datenschutz bei Retargeting & Social Sharing – Dürfen Werbetechnologien Dritter in Websites eingebunden werden?

Online-Werbetechnologien ermöglichen es, den Besuch einer Person auf einer Website zu analysieren und, wie im Fall einiger Social Plugins, Verknüpfungen mit anderen Datenbeständen wie dem Facebook-Profil des Websitebesuchers herzustellen. Der Websitebetreiber braucht hierfür meist nur ein Skript in den Quellcode seiner Seiten einzubinden. Das Skript sorgt dann dafür, dass die Daten über den Besuch der Person direkt an den Anbieter der Werbetechnologie gesendet werden (so z.B. bei Facebook Custom Audiences Website).

Ist der Websitebetreiber für die Datenerhebung verantwortlich?

Aus datenschutzrechtlicher Perspektive ist zunächst fraglich, ob der Websitebetreiber für die Einbindung des Skripts verantwortlich ist. Denn der Websitebetreiber erhält selbst meist keinen Zugriff auf die erhobenen Daten. Das braucht er auch nicht, denn ggf. anschließende Werbemaßnahmen lassen sich viel effektiver durch den Anbieter der Werbetechnologie durchführen, dem in der Regel noch zahlreiche andere Daten zum Besucher vorliegen. Diese Daten können (wie im Fall von Facebook) entweder aus dem hauseigenen Netzwerk stammen oder aber über andere Websites erhoben werden, in die dieselbe Werbetechnologie eingebunden ist und die ebenfalls von der Person besucht wurden.

Da der Websitebetreiber keinen Zugriff auf die Daten erhält, war in Literatur und Rechtsprechung bisher weitgehend unklar, wer aus datenschutzrechtlicher Sicht die „verantwortliche Stelle“ für die Datenverarbeitung ist. Gemäß § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) ist verantwortliche Stelle, „jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.“

Während unstrittig war, dass für das Verarbeiten und Nutzen der Daten ausschließlich der Werbetechnologieanbieter verantwortlich ist, war unklar, ob dies auch für das Erheben der Daten gilt. Die entscheidende Frage war hier, ob eine Datenerhebung die Zugriffsmöglichkeit auf die Daten voraussetzt, die im Falle des Websitebetreibers nicht gegeben ist.

Landgericht Düsseldorf: Mitverantwortlichkeit trotz fehlender Zugriffsmöglichkeit

Das Landgericht Düsseldorf hat nun klargestellt, dass der Websitebetreiber trotz fehlender Zugriffsmöglichkeit für die Datenverarbeitung mitverantwortlich ist. Eine Zugriffsmöglichkeit auf die Daten sei für die Mitverantwortlichkeit ebenso wenig erforderlich, wie die Verfügungsmacht über die Daten:

„Allein, dass die Beklagte keinen direkten Einfluss auf die Funktionsweise des Buttons und die Verarbeitung der Daten hat, ihr deren Umfang sogar unbekannt sein mag, und dass sich ihre aktive Tätigkeit auf die Einbindung des Plugins erschöpft, steht dem ebenso wenig entgegen, wie die Tatsache, dass nicht die Beklagte an sie übermittelte und in ihrem Besitz stehende Daten an [das soziale Netzwerk] weiterleitet, sondern die Erfassung der IP-Adresse unmittelbar durch [das soziale Netzwerk] erfolgt.“

Mit dieser Einschätzung setzt sich das Gericht über die herrschende Literaturmeinung hinweg, die sowohl die Verfügungsmacht als auch die Kenntnis der Daten als Voraussetzung für ein Erheben ansieht. Es bleibt daher abzuwarten, wie sich andere Gerichte zu der Frage äußern.

Die europäische Datenschutz-Grundverordnung, die ab 2018 den Datenschutz in Europa neu regeln wird, enthält eine sehr weite Definition des Begriffs „Verarbeiten“. In diesem geht nicht nur der Begriff des Erhebens auf, sondern auch vage Begriffe wie der der „Verknüpfung“, die nicht unbedingt auf eine Zugriffsmöglichkeit hindeuten.

Werden überhaupt personenbezogene Daten erhoben?

Eine ganz andere, aber ebenso entscheidende Frage ist, ob mithilfe der eingebundenen Werbetechnologien überhaupt personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes erhoben werden. Ist dies nicht der Fall, findet das Datenschutzrecht keine Anwendung. Eine Erhebung und Verarbeitung der Daten wäre dann, ganz gleich durch wen, gänzlich unproblematisch.

Im angesprochenen Gerichtsverfahren ging es neben der unzweifelhaft personenbezogenen Facebook-Nutzer-ID insbesondere um die Verarbeitung der IP-Adresse und Nutzungsdaten wie den Browser-String, die ohne jegliches Zutun des Websitebesuchers (auch ohne Anklicken des Social-Plugin-Buttons) beim Besuch der Webseite an Facebook gesendet werden. Auch hier vertritt das Gericht eine restriktive Haltung, indem es jedenfalls die IP-Adresse als personenbezogenes Datum einordnet. Das Gericht folgt damit einer Entscheidung des Bundesgerichtshofs, in der IP-Adressen ebenfalls als personenbezogene Daten angesehen werden. Manche Werbedienste verarbeiten daher IP-Adressen nur in gekürzter Form, sodass ein Rückschluss auf eine bestimmte Person nicht mehr möglich ist.

Personenbezogene Daten wie die ungekürzte IP-Adresse dürfen ohne vorangehende Einwilligung des Websitebesuchers grundsätzlich nur dann verarbeitet werden, wenn die Daten für den Betrieb und die Nutzung der Website erforderlich sind (§ 15 Abs. 1 S. 1 TMG). Dies ist freilich weder bei der Datenverarbeitung im Rahmen von Social Plugins noch im Rahmen sonstiger eingebundener Marketingtechnologien der Fall.

Sehr umstritten ist, ob bei der Erstellung von Nutzungsprofilen durch Dritte – z. B. Facebook oder einen anderen Werbetechnologieanbieter – die Ausnahmeregelung des § 15 Abs. 3 TMG greift, die eine Profilerstellung unter Pseudonym für Werbezwecke durch den sogenannten „Diensteanbieter“ erlaubt. Die Datenschutzaufsichtsbehörden vertreten hier eine sehr restriktive Haltung. Ihnen zufolge scheidet die Anwendbarkeit der Ausnahmeregelung zumindest dann aus, wenn ungekürzte IP-Adressen verarbeitet werden.

Wie ist eine datenschutzkonforme Einbindung von Technologien Dritter möglich?

Das Urteil des Landgerichts Düsseldorf erhöht den Druck auf Websitebetreiber, Inhalte Dritter rechtskonform in die eigene Website einzubinden. Für Marketers besteht die größte Herausforderung darin, Technologien so zu integrieren, dass die Einbindung einerseits rechtskonform ist, andererseits aber auch eine werbestrategische Wirkung entfalten kann. Wie dies bei Social Plugins und Retargeting-Anbietern möglich ist, wird im Folgenden kurz erläutert.

Social Plugins: verschiedene Privacy-Technologien auf dem Markt

In Hinblick auf Social Plugins könnten Technologien die Lösung sein, die eine Aktivierung des Plugins – und damit den Datenaustausch zwischen dem Browser des Websitebesuchers und dem Server des Technologieanbieters – erst dann auslösen, wenn der Besucher den Datenaustausch durch einen Klick bestätigt. Das Plugin wird somit durch einen Klick des Besuchers „aktiviert“.

Ein solches Vorgehen ermöglicht z.B. die sogenannte Zwei-Klick-Lösung von heise.de, die mittlerweile von zahlreichen Websites (u.a. von dem beklagten Shop im oben erwähnten Urteil) eingesetzt wird. Auch bei Verwendung der Zwei-Klick-Lösung bleibt der Websitebetreiber allerdings für die Datenerhebung mitverantwortlich. Er steht daher weiterhin vor der Herausforderung, gemäß §§ 12 Abs. 1, 13 Abs. 1 TMG über eine Datenverarbeitung zu informieren, zu der ihm vom Technologieanbieter oft nur unzureichende Informationen zur Verfügung gestellt werden.

Noch besser als die Zwei-Klick-Lösung ist daher die Shariff-Lösung von c’t, die zum Beispiel auch als WordPress-Plugin auf der activeMind Website eingesetzt wird. Hierbei braucht der Websitebetreiber gar keine Technologie der sozialen Netzwerke in die eigene Website einbinden. Stattdessen werden verlinkte Bilder in den jeweiligen Farben bzw. mit den Logos der Netzwerke eingebunden. Erst, wenn der Besucher auf das Bild klickt, werden Daten an das Netzwerk übermittelt. Shariff kann auf Wunsch des Websitebetreibers darüber hinaus während des Ladevorgangs der Webseite über ein Skript beim sozialen Netzwerk abfragen, wie oft die Webseite im Netzwerk bereits geteilt wurde. Da über die Website keine Daten erhoben werden, ist der Websitebetreiber bei der Shariff-Lösung nicht als verantwortliche Stelle anzusehen.

Retargeting-Anbieter: Auf das richtige Siegel kommt es an

Neben Social Plugins erfreuen sich verschiedenste Retargeting-Technologien im Online-Marketing großer Beliebtheit. Auch in diesem Bereich sind inzwischen einige datenschutzkonforme Technologien auf dem Markt zu finden. Viele Technologie-Anbieter versuchen, die Datenschutzkonformität ihrer Technologie mit einem Datenschutzsiegel zu belegen. Hier ist jedoch Vorsicht geboten, da leider nicht alle auf dem Markt auffindbaren Datenschutzsiegel das Datenschutzniveau bezeugen, das von den Aufsichtsbehörden verlangt wird.

Dies lässt sich gut an der Übersicht zu den vergebenen Siegeln des Anbieters ePrivacy GmbH verdeutlichen: Während das ePrivacyseal-Siegel den Anspruch hat, die Einhaltung gesetzlicher Regelungen zu belegen, bezeugt das EDAA Trust Seal zunächst einmal nur die Einhaltung eines (von der europäischen Datenschutzaufsicht bemängelten) Branchenstandards der Werbeindustrie. Eine allgemeine Übersicht zu Zertifizierungen und Gütesiegeln im Datenschutz findet sich bei der Stiftung Datenschutz.

Da trotz „gutem“ Siegel nicht immer klar ist, ob personenbezogene Daten verarbeitet werden, sollte in jedem Fall ein Hinweis in der Datenschutzerklärung zur jeweils eingebundenen Technologie erfolgen. Dies gilt auch für den datenschutzkonformen Einsatz von Social Plugins. Bei der Zwei-Klick-Lösung ist ein Hinweis zwingend erforderlich, beim Shariff empfiehlt er sich jedenfalls aus Marketingsicht.

Fazit: Datenschutz ins Marketing integrieren!

Auf den ersten Blick ist das Urteil des Landgerichts Düsseldorf ein schwerer Schlag für Marketers. Bei genauerem Hinsehen wird jedoch deutlich: Die Entscheidung konkretisiert, jedenfalls in den meisten Punkten, nur das, was die Aufsichtsbehörden bereits seit langem vertreten. Aus einer nachhaltigen Marketingperspektive heraus ist es daher sinnvoll, den Datenschutz von Anfang zu berücksichtigen und Datenschutz als Werbeinstrument zu begreifen, das langfristig Vertrauen schafft.