Wordpress-Plugin Yagendoo datenschutzwidrig

16.03.2011

Das Unternehmen Yagendoo bietet seit wenigen Tagen ein Wordpress-Plugin an, mit dem angeblich datenschutzkonform die Plugins von Facebook, Twitter oder Flattr eingebunden werden kann.

Werbetext:
"Das Plugin ermöglicht es, wirklich jeden beliebigen Dienst, dessen Tools man über einen Code auf der eigenen Seite einbinden kann, in den Zustimmungsablauf durch den Besucher zu übernehmen. Sie pflegen die Codes nun nicht mehr direkt im Content oder Theme ein, sondern im Backend in das Wordpress Datanschutzplugin. Das Plugin erstellt aus jedem eingetragenen Code automatisch 2 Short-Tags. Diese Short-Tags können Sie im Wordpress Content oder im Wordpress Theme, wie vorher den Tool-Code direkt, einbinden."

Anmerkung von RA Dr. Bahr:
Das Tool ist sicherlich gut gemeint, erfüllt aber noch nicht einmal die datenschutzrechtlichen Grundanforderungen.

Der Anbieter bedient sich der Einwilligung des Users. Juristisch ist die der zutreffende und richtige Weg, da mit Zustimmung des User grundsätzlich jede Form der datenschutzrechtlichen Verarbeitung möglich ist. Der Webseiten-Betreiber muss sich dann nicht auf die rechtlich unsichere Frage verlassen, ob eine Gesetzesnorm existiert, die eine Verarbeitung der Daten erlaubt.

Das deutsche Datenschutzrecht stellt aber für eine solche EInwilligung ganz bestimmte Bedingungen auf. Die einzelnen Anforderungen finden sich in § 13 Abs.2 und Abs.3 TMG wieder. Dazu nachfolgend zwei Beispiele.

U.a. verlangt das Gesetz:

- die umfassende Aufklärung über den Inhalt und den Umfang seiner Einwilligung
- die Belehrung, dass der Nutzer die Einwilligung jederzeit widerrufen kann

Alle diese Anforderungen erfüllt das Plugin-In nicht. 

1. Die umfassende Aufklärung über den Inhalt und den Umfang seiner Einwilligung:
Wie schon bereits mehrfach erläutert ist eine datenschutzrechtliche Einwilligung nur dann rechtlich wirksam, wenn der Nutzer über den Inhalt und den Umfang seiner Einwilligung informiert ist.

Bei Facebook scheitert diese Variante bereits an dem Umstand, dass immer noch unklar ist, was genau an Informationen der "Like Button" überträgt. Wie sich im Fall hamburg.de anschaulich gezeigt hat, schweigt sich Facebook weiterhin darüber hinaus. Wenn ein Seitenbetreiber aber nicht weiß, was alles an Daten transportiert wird, wie will er dann rechtskonform informieren?

Auch aus formalen Gründen ist der Hinweistext nicht ausreichend.

Es müsste nämlich genau die Firma genannt werden, wem gegenüber die Einwilligung erklärt wird. Die jeweilige Kurz-Nennung des Dienstes (z.B. "Flattr") ist nicht ausreichend, da dem User nicht auf Anhieb ersichtlich wird, welches Unternehmen dahinter steckt.

2. Fehlende Widerrufsbelehrung:
Die gesetzlich vorgeschriebene Belehrung über den jederzeitigen Widerruf (§ 13 Abs.3 TMG) fehlt vollkommen in dem Text.

Der Anbieter schlägt - wie aus der Dokumentation hervorgeht - vielmehr vor, dass der Seitenbetreiber eine solche Belehrung im Impressum oder in seiner Datenschutzerklärung auf der Webseite "versteckt". Dies ist aber rechtswidrig, da das Gesetz ausdrücklich vor Erteilung der Einwilligung eine Belehrung vorschreibt. Und nicht hinterher.

Fazit:
So gut das Plugin auch gemeint ist. Es beseitigt nicht die bestehenden Datenschutz-Probleme. Der User, der sich dieses Tools bedient, ist also keineswegs auf der sicheren Seite.

[UPDATE 16.03.2011] Yagendoo kündigt Update an!
Der Geschäftsführer von Yagendoo, Yannick Spang, hat sich bei uns angemeldet und angekündigt, dass er die von uns kritisierten Punkte beim nächsten Update in das Tool einbauen wird.