Websitebetreiber müssen bei Einsatz des Webtracking-Tools „Piwik“ in der Datenschutzerklärung auf das Recht zum Widerspruch hinweisen. Verstöße sind abmahnbar (LG Frankfurt, Urteil vom 18.02.2014, Az. 3-10 O 86-12).
Piwik als Alternative zu Google Analytics
Piwik ist eine Open-Source-Software zur Reichweitenmessung, also zur statistischen Auswertung von Besucherzugriffen auf einer Website (Zum Download von Piwik geht es hier). Im Gegensatz zu Google Analytics wird Piwik auf dem Server des Websitebetreibers gehostet, so dass dieser volle Kontrolle über die ermittelten Daten hat. Empfohlen wird Piwik vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) als – unter Umständen – datenschutzkonforme Alternative zu Google Analytics.
Voraussetzungen einer datenschutzkonformen Nutzung von Piwik
Grundlegende Voraussetzung einer datenschutzkonformen Nutzung von Piwik ist, dass die letzten beiden Ziffern der IP-Adresse des Besuchers durch Verwendung des Plugins AnonymizeIP anonymisiert werden. Einer Belehrung und Einwilligung des Besuchers im Hinblick auf die Speicherung und Verarbeitung bedarf es in diesem Fall mangels Nutzung personenbezogener Daten nicht.
Piwik erzeugt über die Verknüpfung mit anderen Daten des Besuchers wie Browserart, Bildschirmauflösung etc. aber einen Hashwert, aus dem heraus laut Landgericht Frankfurt „mit überraschend hoher Wahrscheinlichkeit“ auf die IP-Adresse des Besuchers geschlossen werden kann. Aus diesem Grund wertete das Gericht die Anonymisierung der IP-Adresse als Pseudonymisierung im Sinne von § 3 Abs. 6a BDSG mit der Folge, dass Besuchern nach § 15 Abs. 3 Satz 1 TMG ein Widerspruchsrecht gegen den Einsatz von Piwik zusteht. Dieser Schluss ist jedoch nicht unumstritten.
§ 15 TMG – Nutzungsdaten
(3) Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht. Der Diensteanbieter hat den Nutzer auf sein Widerspruchsrecht im Rahmen der Unterrichtung nach § 13 Abs. 1 hinzuweisen. Diese Nutzungsprofile dürfen nicht mit Daten über den Träger des Pseudonyms zusammengeführt werden.
Wer sich detaillierter über die Bedeutungsunterschiede zwischen “personenbezogen”, “pseudonym” und “anonym” informieren möchte, wird bei Thomas Schwenke fündig.
Belehrung über Widerspruchsrecht bei Nutzung von Piwik
Wer Piwik auf seiner Website einsetzt und dem Frankfurter Urteil genügen will, muss Besucher gemäß § 15 Abs. 3 Satz 2 TMG über ihr Widerspruchsrecht informieren. Eine kostenlose Musterdatenschutzbelehrung speziell für den Einsatz von Piwik bietet Rechtsanwalt Schwenke an.
Die Belehrung muss für den Besucher erkennbar und jederzeit abrufbar sein. „Kombinierte“ Lösungen, bei denen auf das Widerspruchsrecht im Impressum oder auf einer Kontaktseite hingewiesen wird, genügen der gesetzlichen Vorgabe nicht, da der Besucher dort keine Datenschutzbelehrung erwartet. Allgemein ist in Bezug auf die Art und Weise der rechtskonformen Einbindung einer Datenschutzerklärung in eine Website vieles umstritten, so etwa, ob ein deutlich hervorgehobener Hinweis auf der Startseite mit einem Link zur Datenschutzerklärung ausreicht. Im Mindestmaß sollte die Belehrung m.E. als Teil der Datenschutzerklärung auf einer eigenen, stets erreichbaren Unterseite „Datenschutz“ bzw. „Datenschutzerklärung“ erfolgen. Wer den Besucher gemäß der gesetzlichen Vorgabe in § 13 Abs. 1 TMG bereits „zu Beginn des Nutzungsvorgangs“ über sein Widerspruchsrecht informieren und ihn in diesem Sinne zwangsläufig mit der Belehrung in Kontakt bringen möchte, wird über eine Pop-Up-Lösung bei erstmaligem Seitenaufruf nachdenken müssen – eine rechtssichere, aber sicherlich nutzerunfreundliche Lösung.
LG Frankfurt: Verstöße gegen § 15 Abs. 3 TMG sind wettbewerbswidrig
Wird der Besucher nicht, falsch oder nicht erkennbar über sein Widerspruchsrecht belehrt, liegt ein Verstoß gegen § 15 Abs. 3 TMG vor, der den Einsatz des Analysedienstes datenschutzrechtlich unzulässig macht.
Neuerdings stuften mehrere Gerichte bestimmte Datenschutznormen als Marktverhaltensregelungen im Sinne von § 4 Nr. 11 UWG ein mit der Folge, dass Datenschutzverstöße von Mitbewerbern als Wettbewerbsverletzungen abgemahnt werden können. So entschied z.B. das Oberlandesgericht Hamburg, dass Verstöße gegen § 13 Abs. 1 TMG im Rahmen von Datenschutzerklärungen abmahnbar sind. Diesem Trend schloss sich das Landgericht Frankfurt unter Verweis auf den Werbebezug von § 15 Abs. 3 TMG an und verurteilte den Websitebetreiber entsprechend zur Unterlassung.
Den Volltext der Entscheidung hat Rechtsanwalt Dury hier zur Verfügung gestellt.
Praktische Folgen und Handlungsempfehlung
Nahezu jede Website benötigt heute eine Datenschutzerklärung. Da Verstöße gegen Datenschutzvorschriften früher praktisch keine Folgen hatten, führten Datenschutzerklärungen im Vergleich zum bekanntermaßen abmahngefährdeten Impressum lange ein Schattendasein. Bedingt durch den aktuellen Kurswechsel der Rechtsprechung, bestimmte Datenschutzvorschriften als Marktverhaltensregelungen zu bewerten, sollten Websitebetreiber künftig verstärkt darauf achten, rechtskonforme Datenschutzerklärungen einzusetzen, um Abmahnungen zu vermeiden.
Update: Eine DSGVO konforme Datenschutzerklärung, die sich automatisch an die aktuelle Rechtslage anpasst, erhalten Sie bei avalex.
Nehmen Sie bei einer Piwik Abmahnung unsere kostenlose und unverbindliche Ersteinschätzung in Anspruch. Ein rechtssicheres Impressum können Sie mithilfe unseres Impressum-Generators erzeugen.
© vege – Fotolia.com
Mich würde in dem Zusammenhang interessieren, wie es mit der datenschutzkonformen Absicherung von WordPress aussieht. Alle schreiben von Google Analytics und Piwik, aber zum Thema Sicherheitsplugins findet man nichts.
Der Konsens im Netz ist, dass es unabdingbar ist, WordPress mit Hilfe von Sicherheitsplugins wie Wordfence abzusichern. Leider geht dies aber mit der Speicherung von IP-Adressen einher, da auf dieser Grundlage automatisiert Nutzer gesperrt werden, die z.B. versuchen per Brute-Force das Login der Seite zu knacken oder eine Denial of Service Attacke auszuführen.
Ist es überhaupt möglich solche Plugins einzusetzen oder gibt es ähnlich wie Piwik datenschutzkonforme Plugins?