LG Frankfurt a.M.: Hinweispflicht bei Erhebung pseudonymisierter Daten durch Online-Tool Piwik
Das LG Frankfurt a.M. (Urt. v. 18.02.2014 - Az.: 3-10 O 86/12) hat entschieden, dass ein Webseiten-Betreiber beim Einsatz von Pseudonymen (hier: durch das Online-Statistik-Tool Piwik) verpflichtet ist, auf die Widerspruchsmöglichkeit hinzuweisen. Erfolgt dies nicht, handelt es sich um einen Wettbewerbsverstoß.
Die verklagte Firma setzte das bekannte Statistik-Tool Piwik für sich sein, kürzte aber die erhobenen IP-Adressen um die beiden letzten Stellen. Gleichwohl bejahte das Gericht die Anwendbarkeit der Datenschutz-Vorschriften des TMG.
Es handle sich nämlich, so das Gericht, nicht um (total) anonymisierte Daten, sondern vielmehr um pseudonymisierte Daten. Die Software Piwik erstelle nämlich bei ihrer Verwendung einen internen Hashwert, der aus unterschiedlichen Faktoren (u.a. IP-Adresse, Auflösung, Browser, verwendete Plugins, Betriebssystem) errechnet würde. Auch bei aktivierter Anonymisierungsfunktion verwende das Tool für diese internen Zwecke die volle IP-Adresse.
Bezugnehmend auf technische Ausführungen des Unabhängigen Landeszentrums Schleswig-Holstein müsse man, so das Gericht, davon ausgehen, dass eine ein Rückrechnen der Werte - bis auf die IP-Adresse - möglich sei. "Mit überraschend großer Zuverlässigkeit" könne so auf die anderen Informationen geschlossen werden.
Juristisch bewertet das Gericht eine solche Speicherung als Pseudonymisierung.
In einem solchen Fall müsse der Betreiber zu Beginn des Nutzungsvorgangs über die Möglichkeit des Widerspruchs hinweise. Ein einfacher Hinweis auf der Unterseite "Kontakte" reiche hierfür nicht auf, weil die Information damit nicht vor Anfang der Nutzung geschehe.
Die Regelung des § 15 Abs.3 TMG sei eine Marktverhaltensregel, so dass eine Rechtsverletzung zugleich ein abmahnfähiger Wettbewerbsverstoß sei.
Anmerkung von RA Dr. Bahr:
Die Entscheidung des LG Frankfurt a.M. wird im Web teilweise harrsch kritisiert. Diese Kritik können wir inhaltlich nicht teilen.
Die Robenträger stoßen mit ihrem Urteil die Tür zu einem altbekannten, aber bislang gerichtlich kaum problematisierten Bereich auf.
Das Gericht nimmt pseudonymisierte Daten an, auch wenn Piwik mit voller Anonymsierungsfunktion betrieben wird. Denn die Juristen gehen davon aus, dass durch die Bildung des Hashwertes ein Rückrechnen möglich sei.
Durch das Vorliegen dann individueller Werte (u.a. Auflösung, Browser, verwendete Plugins, Betriebssystem) sei die Zuordnung der Daten zu einem bestimmten Pseudonym möglich. Diese Speicherung erinnert - nicht zufällig - an die bekannte Fingerprints-Technologie, die aufgrund der bekannten Cookie-Problematik in der letzten Zeit immer stärker zunimmt.
Folgt man also der (technischen) Einschätzung, dass die Hashwerte ein Zurückrechnen ermöglichen, so sind die Ausführungen des LG Frankfurt a.M. folgerichtig und zutreffend.
Am verfehlten Gesetzeswortlaut des § 15 Abs.3 TMG ("... zu Beginn des Nutzungsvorgangs") kann das Gericht auch nichts ändern, sondern muss vielmehr die gesetzgeberischen Maßgaben konsequent umsetzen. Soll heißen: Nur wer vor Beginn der Webseiten-Nutzung ein entsprechendes Info-Fenster einblendet, wird sich an den derzeitigen Wortlaut halten. Über die technische Unsinnigkeit einer solchen Einblendung muss man nicht lange diskutieren: Es ist purer Schwachsinn!
Es ist jedoch nicht Aufgabe eines Gerichts, diese Misstand zu beheben, sondern es wäre vielmehr Aufgabe des Gesetzgebers, endlich ein halbwegs taugliches und praktikables Online-Datenschutzrecht zu schaffen. Blickt man jedoch die letzten 20 Jahre im Online-Bereich zurück, zeigt sich schnell, dass dies wohl nur ein frommer Wunsch bleiben wird.
Siehe bzw. höre zu dieser gesamten Problematik auch unseren vierteiligen Podcast: "Rechtliche Zulässigkeit von Online-Benutzerprofilen: Teil 1, Teil 2, Teil 3 und Teil 4.