Kanzlei Lachenmann Onlinerecht IT-Recht

Jede Homepage benötigt eine Erklärung zum Datenschutz, da immer personenbezogene Daten verarbeitet werden!

Ein weitverbreiteter Irrtum zu Erklärungen zum Datenschutz auf Homepages ist, dass nicht jede Homepage eine Erklärung zum Datenschutz benötigen würde, z.B. weil keine personenbezogenen Daten erhoben würden oder sie privat sei. Dies ist jedoch falsch. Warum jede Homepage eine Erklärung zum Datenschutz benötigt (die als einzelner Punkt von überall abrufbar sein muss!), zeige ich im Folgenden auf. Dies beruht auf zwei Gründen:

1) Jede Homepage verarbeitet personenbezogene Daten

Oftmals liest man in Datenschutzerklärungen z.B. „bei bloß informatorischer Nutzung der Homepage, verarbeiten wir keine personenbezogenen Daten“. Diese Formulierung ist m.E. falsch. Grund dafür ist die Ansicht der Datenschutz-Aufsichtsbehörden, dass auch IP-Adressen, Cookies usw. als personenbezogene Daten anzusehen seien. Es werden alle Daten als personenbezogen gewertet, durch die irgendeine Person eine Verbindung zu einer Person herstellen kann, was bei IP-Adressen der Fall sei. Diese Ansicht wird zwar von der herrschenden Meinung in der juristischen Literatur nicht geteilt – zu Recht, sie ist unsinnig – sollte aber dennoch berücksichtigt werden, da die Aufsichtsbehörden gegen Betreiber vorgehen (können), die ihre Ansicht nicht teilen.

Bei einem reinen Lese-Zugriff auf die Homepage übermitteln die Internetbrowser an die Homepage automatisch Daten wie IP-Adresse, Browsertyp, verwendetes Betriebssystem, Datenmenge und Zugriffsstatus usw. Diese Informationen – mit denen ein Betreiber eigentlich nichts anfängt und sich nicht für sie interessiert – gelten also derzeit als personenbezogen, weshalb der jeder Homepage-Betreiber seine Nutzer darüber zu informieren hat.

Relevant werden diese Informationen aber durchaus, wenn ein Homepage-Betreiber weitere Funktionen auf der Homepage hat. Beispiel Werbebanner: Unter dem Stichwort Online Behavioral Advertising werden Cookies ausgelesen, um dem Nutzer möglichst zielgerichtete Werbung bieten zu können. Noch weiter geht das Tracking über sog. Browser-Fingerprints. Zwar ist in der Literatur streitig, ob ein Diensteanbieter überhaupt Daten erhebt, wenn diese direkt an den Banner-Betreiber gehen, ohne dass der Homepage-Betreiber sie sieht. Die Ansicht der Aufsichtsbehörden dürfte jedoch jedem klar sein. (Dazu folgt noch ein gesonderter Blog-Beitrag.)

2) Auch private Nutzer müssen jede Homepage mit einer Erklärung zum Datenschutz ausstatten

Dass auch private Nutzer jede Homepage mit einer Erklärung zum Datenschutz ausstatten müssen, ergibt sich aus §§ 11, 12 und 2 Nr. 1 TMG: Gem. § 2 Nr. 1 TMG ist Diensteanbieter jede Person, die Telemedien zur Nutzung bereit hält. Es gibt also keine Einschränkung auf geschäftsmäßige/kommerzielle Anbieter, sondern umfasst jeden Homepage-Betreiber.

Dies bestätigt der Vergleich mit der Impressums-Pflicht: Diese ist in §§ 5 und 6 TMG normiert und umfasst ausdrücklich nur „geschäftsmäßige“ Kommunikation, private Homepage-Betreiber unterliegen also keiner Impressumspflicht. Bei § 13 TMG, der die Pflicht zur Vorhaltung einer Erklärung zum Datenschutz bestimmt, fehlt eine solche Einschränkung. Stattdessen wird nur darauf abgestellt, ob personenbezogene Daten erhoben werden, was für jede Homepage gilt (s.o.).

Dieser Beitrag ist Teil meiner Serie zu Online-Datenschutz-Erklärungen, in der ich in loser Reihenfolge über die rechtskonforme Erklärung zum Datenschutz für jede Homepage informiere.

In den kommenden Tagen werde ich eine Muster-Erklärung zum Datenschutz für private Homepages einstellen.

Externer Link: Eine juristische Bewertung zum Personenbezug von IP-Adressen gibt RA Lachenmann in einem Gastbeitrag bei IP Notiz.

Dieser Beitrag wurde in Blog, Datenschutzrecht, Internetrecht/Onlinerecht, IT- und Internetrecht veröffentlicht. Ein Lesezeichen auf das Permalink. setzen. Sowohl Kommentare als auch Trackbacks sind geschlossen.

2 Kommentare

  1. Johannes
    Am 2. Oktober 2013 um 13:31 Uhr veröffentlicht | Permalink

    Wenn jemand eine „Seite ohne Schnick-Schnack“ betreibt, keine Rücksicht auf Browser genommen wird und die Logfile ausschließlich anonym speichert (also z.B. nur die Zugriffe des eigenen Systems aufzeichnet, jedoch keine IP-Adressen, Refers, Browserstrings etc. – moglich ist das z.B. bei HostEurope), finde ich, dass die Behauptung „Jede Homepage benötigt eine Erklärung zum Datenschutz, da immer personenbezogene Daten verarbeitet werden!“ in ihrer Pauschalität nicht wirklich stimmen kann.

    Meine eigene „Homepage“ besteht z.B. nur aus einem Hinweis, dass die Domain genutz wird und wie ich kontaktiert werden kann, wenn jemand was will. Keine Cookies. Keine Abfragen. Keine Scripte. Keine Banner/Werbung/Ähnliches. Nur simples Museums-HTML zum Anzeigen eines JPG-Bildes. Die Logfile wird anonym geführt (Browserinfos, IP Refer, etc. werden nicht abgespeichert).
    Ich weiß nicht, WER meine Seite aufruft, nicht womit, nicht einmal wann. Nur welche Dateien wie oft aufgerufen werden. Was sollte denn dann demnach in der Datenschutzerklärung drinstehen, wenn ich keine Daten erhebe?

    • Am 4. Oktober 2013 um 15:12 Uhr veröffentlicht | Permalink

      Das ist sicherlich ein Grenzfall, in dem es vertreten werden kann, dass keine Erklärung zum Datenschutz nötig ist. Allerdings bleibt die Gefahr bestehen, dass die Aufsichtsbehörde der Ansicht ist, Sie könnten einen Personenbezug herstellen.
      Mit der IP-Adresse an sich kann ein Homepagebetreiber ja auch nichts anfangen, dennoch unterwerfen die Behörden das den personenbezogenen Daten.