Am 8. und 9. Mai fand der 13. Datenschutzkongress in Berlin statt. Als Redner waren prominente Datenschützer, wie beispielsweise der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, und der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar, sowie der Bundesinnenminister Dr. Hans-Peter Friedrich anwesend.

Neben Diskussionen um den Entwurf einer Datenschutzverordnung sowie Fragen rund um die ePrivacy Richtlinie und die Cookie-Vorgaben war insbesondere der Beitrag des Hamburgischen Datenschutzbeauftragten, Herrn Caspar, interessant:

Er erwähnte nämlich die 2-Klick-Lösung des Heise Verlages als datenschutzkonforme Möglichkeit, Social Plug-Ins (wie den Facebook Like Button) zu verwenden. Social Plug-Ins waren vom Düsseldorfer Kreis als datenschutzwidrig eingestuft worden und auch die Variante mit der 2-Klick-Lösung zum Teil als kritisch angesehen.

Unklar bleibt, ob Prof. Caspars Meinung sich auch mit denen der Datenschutzbeauftragten der übrigen Bundesländer deckt. Dennoch bringt diese mündliche Äußerung zumindest ein kleines Stück Rechtssicherheit.

2 Comments

Wie im Herbst 2011 berichtet, konnte eine Einigung zwischen den Datenschützern und Google im Hinblick auf die Tracking Software Google Analytics erzielt werden und ein datenschutzkonformer Einsatz ist seitdem unter bestimmten Voraussetzungen zulässig.

Der richtige Einsatz von Google Analytics wird durch die Datenschutzbehörden auch überprüft: Bereits im Januar überprüfte die Datenschutzbehörde in Rheinland-Pfalz stichprobenartig Webseiten auf den richtigen Einsatz von Google Analytics hin, nun zieht auch Bayern nach: Das Bayerische Landesamt für Datenschutzaufsicht hat 13.404 Sites bayerischer Betreiber auf die einwandfreie Verwendung von Google Analytics überprüft. Das Ergebnis war, dass von den Betreibern, die Google Analytics einsetzten, lediglich 3% das Tracking Programm rechtskonform verwendeten. Die übrigen wurden schriftlich aufgefordert, den Missstand zu beheben. Bußgelder sollen allerdings erst einmal nicht verhängt werden.

Das Vorgehen der Datenschützer zeigt, dass es durchaus praktische Relevanz hat, sich an die datenschutzrechtlichen Vorgaben zu halten, um Kontakt mit den Aufsichtsbehörden zu vermeiden. Wir empfehlen daher noch einmal zu überprüfen, ob die nachfolgenden Anforderungen auch tatsächlich umgesetzt worden sind.

Checkliste zum datenschutzkonformen Einsatz von Google Analytics:

• Vertrag zur Auftragsdatenverarbeitung mit Google (§ 11 BDSG – Vertrag) abschließen.
• Anonymisierung der IP-Adressen durch das  _anonymizeIp()-Tool von Google
• Widerspruchsrecht der Betroffenen durch ein Deaktivierungs-Add-On
• Datenschutzhinweis in der Datenschutzerklärung mit umfassender Information über die Funktionsweise von Google Analytics und die Rechte des betroffenen Nutzers
• Löschung von Altdaten (bestehende Google Analytics Profile).

No Comments

Nachdem soziale Netzwerke wie Google+ und Facebook Tools zur automatisierten Erkennung von Gesichtern integriert haben, kam es in den vergangenen Monaten zu massiver Kritik durch Verbraucher- und Datenschützer. Diese Tools ermöglichen die automatische Erkennung von angemeldeten Usern auf hochgeladenen Fotos und sollen dadurch unter anderem das Verlinken erleichtern. Datenschützer befürchten darüber hinaus einen flächendeckenden Einsatz dieser Technik. Denn es existieren bereits diverse Apps und Entwicklungen, die beispielsweise ein mit einem Handy geschossenes Foto einer Person mit persönlichen Informationen zu dieser Person (nach erfolgreicher Gesichtserkennung) aus dem Internet, insbesondere aus sozialen Netzwerken verknüpfen können.

Der Einsatz solcher Techniken würde dazu führen, dass jeder Smartphone-Nutzer in der Lage wäre, Fremde auf der Straße, in Bars, Diskotheken, im Kino etc. zu identifizieren – vorausgesetzt vom Fotografierten existieren Fotos und persönliche Informationen im Internet. Neben der Gefahr des Anlegens von Profilen und der Beschränkung der Privatssphäre würde der flächendeckende Einsatz dieser Techniken auch die Anonymität des Einzelnen erheblich einschränken.

Aus diesem Grunde hat die Art. 29-Datenschutzgruppe nun ein Arbeitspapier vorgelegt, in dem sie Regeln zum datenschutzkonformen Einsatz von Gesichtserkennungssoftware aufstellt. Ein wesentlicher Punkt in dem Arbeitspapier ist die Forderung, dass Betroffene zuvor der Verwendung ihrer personenbezogenen Daten für Gesichtserkennung zustimmen müssen. Anbieter von sozialen Netzwerken seien zudem gehalten, bei hochgeladenen Bilder in jedem Fall vorab eine informierte Einwilligung in entsprechende Nutzungen einzuholen, egal ob ein User eigene Fotos in ein Profil einbinde oder ob Dritte Aufnahmen von Personen in ihre Profile integrierten.

Beim Hochladen, Speichern und der Verarbeitung der verwendeten Fotos müsse der Anbieter zudem für Sicherheit sorgen, weswegen die Art. 29-Datenschutzgruppe den Einsatz von Verschlüsselungs- und Verifizierungstechniken empfiehlt. Weiter müssten Anbieter es ihren Usern ermöglichen, die über sie gespeicherten Fotos und Daten einsehen und kontrollieren zu können.
 

No Comments

Nachdem die vergangenen Monate schon vielfach über den zunächst geleakten und Ende November dann doch öffentlich gemachten ersten Entwurf einer Datenschutzverordnung für Europa diskutiert wurde, stellte die EU-Kommissarin Vivianne Reding am Mittwoch offiziell den überarbeiteten Entwurf für eine neue europäische Datenschutz-Verordnung vor.

Mit der Verordnung soll zum einen das Datenschutzrecht innerhalb der Europäischen Union reformiert und zum anderen europaweit vereinheitlicht werden. Der Entwurf muss nun zunächst einmal das europäische Gesetzgebungsverfahren durchlaufen. Änderungen sind daher noch durchaus möglich. Sollte die Verordnung allerdings verabschiedet werden, so wird sie ab Inkraftreten in allen EU-Mitgliedsstaaten gleichermaßen unmittelbare Rechtswirkung entfalten. EIne mühsame Umsetzung in nationales Recht ist bei einer Verordnung nicht notwendig.

Im Wesentlichen ergeben sich durch im Vergleich zum deutschen aktuellen Datenschutzrecht für in Deutschland tätige Unternehmen folgende Veränderungen:

1. Ein wichtiger Grundsatz soll „Privacy by Design“ werden. Das bedeutet, dass die Erfordernisse des Datenschutzes bereits zu einem frühen Zeitpunkt berücksichtigt werden sollen, da neue technologische Systeme oftmals versteckte Gefahren bergen, die sich nur schwer beseitigen lassen, wenn die Grundkonzeption erst einmal feststeht. Datenschutzprobleme sollen daher schon bei der Entwicklung neuer Technologien festgestellt, geprüft und von vorneherein in die Gesamtkonzeption der Technologie einbezogen werden.
2. Interessanterweise wird nicht erwähnt, ob oder dass die Übermittlung perso-nenbezogener Daten, beispielsweise in USA, im Rahmen des bislang etablierten Safe Harbor Programmes möglich ist. Es ist daher davon auszugehen, dass diese Option wegfallen könnte.
3. Die Verwendung von Kunden- und Interessendaten wird deutlich erschwert. Auch Verhaltensdaten können nur unter besonderen Voraussetzungen verwendet werden.
4. Datenschutzverstöße müssen bislang nur in bestimmten Fällen gemeldet werden. Diese Pflicht soll erheblich ausgedehnt werden.
5. Die möglichen Sanktionen für Datenschutzvertsöße werden verschärft; Bußgelder können bis zu 2 % des weltweiten Umsatzes des Unternehmens betragen. Bislang liegen die Bußgelder bei maximal EUR 300.000.

Im Verhältnis zu anderen EU-Ländern dürfte die Umstellung – sofern die Verordnung verabschiedet werden sollte – für deutsche Unternehmen oder solche, die sich bereits jetzt an deutsches Datenschutzrecht halten, am wenigsten einschneidend sein. Denn die EU-Kommission erwähnte ausdrücklich Deutschland als Vorbild für die neue Verordnung. Der Entwurf greift tatsächlich einige Prinzipien des deutschen Datenschutzrechts auf. Dies hat zur Folge, dass Unternehmen, die bislang im Einklang mit den deutschen Datenschutzgesetzen operieren, auf das neue Datenschutzrecht gut vorbereitet sein sollten. Umgekehrt behalten alle Anstrengungen von Unternehmen, die bis zum Inkrafttreten der Verordnung unternommen werden, um den geltenden Gesetzen gerecht zu werden, ihre Wirkung auch unter der neuen Verordnung.

1 Comment

Der Düsseldorfer Kreis, das gemeinsame Gremium der Datenschutzbeauftragten, hat sich Anfang Dezember mit Social Networks befasst. In ihrem Beschluss nehmen die Datenschützer auch Stellung zu Social Plugins, wie dem Facebook Like-Button.

Wörtlich heißt es:

„Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.“

(Hervorhebung nicht im Original)

OPT-OUT als Lösung?

Die Formulierung klingt zunächst interessant. Denn schon seit Monaten verteidigt das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) vehement die Position, dass für den Einsatz von Social Plugins eine ausdrückliche vorherige Einwilligung des Nutzers erforderlich ist. Selbst das von Heise entwickelte 2-Klick-Lösung solle diesem Erfordernis nicht genügen,  da sich die Profilbildung bei Facebook nicht deart verhindern lasse, wenn man den Plugin nutzen möchte. Zudem setzte eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlege, was es mit den Nutzerdaten mache, fehle es – laut dem ULD – weiterhin an der nötigen Information. Dagegen klingt die Formulierung des Düsseldorfer Kreises auf den ersten Blick vielmehr nach einem Opt-Out-Verfahren: Der Nutzer müsse hinreichend informiert werden und die Möglichkeit erhalten, die Datenübertragung zu unterbinden.

Einwilligung erfoderlich!

Allerdings ergänzt der Düsseldorfer Kreis diese Aussage bereits wenige Absätze später:

„In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. Es müssen zuvor Erklärungen eingeholt werden, die eine Verarbeitung von Daten ihrer Nutzerinnen und Nutzer durch den Betreiber des sozialen Netzwerkes rechtfertigen können. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Datendurch den Netzwerkbetreiber gegeben werden können.“

(Hervorhebung nicht im Original)

Anders als oben noch suggeriert, solle es daher gerade nicht reichen, dem Nutzer die Möglichkeit zu geben, „die Datenübertragung zu unterbinden“. Vielmehr müsse schon – ganz auf der Linie des ULD – vorab eine Einwilligung eingeholt werden.

Verantwortlichkeit des Fan-Seiten-Betreibers

Darüber hinaus stellt das Gremium fest, dass die Betreiber von Webseiten eine „eigene Verantwortung“ über die Daten der Nutzer haben. Gemeint ist damit einer der entscheidenden Streitpunkte um Social Plugins. Denn die eigentliche Datenübertragung findet nur zwischen dem Nutzer und dem jeweiligen Social Network statt. Der Webseitenbetreiber, der die Social Plugins einsetzt, steht lediglich als Vermittler dazwischen. Wie diese Situation datenschutzrechtlich einzuordnen ist, ist höchst umstritten. Der Düsseldorfer Kreis stellt dazu fest:

„Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.“

(Hervorhebung nicht im Original)

Die Datenschutzbehörden gehen also davon aus, dass der Webseitenbetreiber dafür haftet, wenn ein Social Network beim Nutzer Daten erhebt. Woraus genau sich diese Haftung ergeben und wie sie genau aussehen soll, bleibt indes offen. Eine ausführlichere Begründung wäre wünschenswert gewesen, um Klarheit und Rechtssicherheit in den Streit um Social Plugins zu bringen.

Fazit

Auch der Düsseldorfer Kreis vertritt offensichtlich die Auffasung des ULD und lässt Social Plugins nur dann zu, wenn der Nutzer vorab ausdrücklich in die Verarbeitung seiner Daten eingewilligt hat. Trotz alledem ist auch Thilo Weichert, der Leiter des ULD, der Auffassung, dass Rechtsklarheit für die Zulässigkeit von Social Pluings faktisch nur durch die Gerichte hergestellt werden könne:

„Wir brauchen schnell Rechtsklarheit, die in dieser grundlegenden Frage nur Gerichte herstellen können. Es ist unseres Erachtens nicht tolerierbar, dass deutsche Webseitenbetreiber dadurch Wettbewerbsnachteile erleiden, dass sie sich an den Datenschutz halten – gegenüber solchen, die rechtswidrige US-Dienste in Anspruch nehmen.“

Daher weist das ULD nach einem Gespräch mit Wirtschaftspolitikern der CDU- und der FDP-Landtagsfraktion auf seiner Website darauf hin, dass es kurzfristig nicht gegen kleinere schleswig-holsteinische Unternehmen wegen Facebook-Fanpages oder „Gefällt mir“-Buttons vorgehen werde:

“Derartige Anwendungen verstoßen gegen den Datenschutz. Das ULD bleibt aber weiterhin den Prinzipien der Opportunität und Verhältnismäßigkeit verpflichtet.”

Herzlichen Dank an unseren wissenschaftlichen Mitarbeiter Adrian Schneider für die Mitarbeit an diesem Beitrag!

No Comments

In der Endlosdebatte um die Zulässigkeit von Social PlugIns (wir berichteten hier und hier) eskaliert der Streit. Wie die Lübecker Nachrichten heute berichten hat der Schleswig-Holsteinische Datenschutzbeauftragte nun die ersten Abmahnungen verschickt. Und wen hat es zuerst getroffen? Die Staatskanzlei des Ministerpräsidenten Peter Harry Carstensen und das Wirtschaftsministerium. Das ULD beweist hierbei einen gewissen Sinn für Humor. So wird Sven Polenz vom Unabhängigen Landeszentrum für Datenschutz  in Kiel in dem Artikel wie folgt zitiert:

„Die öffentlichen Stellen bekommen jetzt die Gelegenheit, Stellung zu nehmen und gesetzeskonforme technische Lösungen vorzuschlagen, die uns vielleicht unbekannt sind“

Als hätten nicht schon einige andere über solche Lösungen nachgedacht…

Gemeinsam mit den staatlichen Stellen hat es zehn Unternehmen in Schleswig-Holstein erwischt. Anders als den staatlichen Stellen droht den Unternehmen jedoch ein Bußgeld.

4 Comments

Die bereits zuvor in diesem Blog dargestellte Diskussion um die rechtliche Zulässigkeit von Social-Plugins geht in die nächste Runde und nun bildet sich eine einheitliche Meinung der staatlichen Datenschützer aus:

Im Rahmen der 82. Konferenz der Datenschutzbeauftragten haben die Datenschützer Ende September festgestellt, dass die Einbindung sogenannter Social-Plugins, wie von Facebook, Google+, Twitter und anderen Plattformbetreibern, in die Webseiten deutscher Anbieter ohne hinreichende Information der User und ohne Einräumung eines Wahlrechtes nicht mit deutschen und europäischen Datenschutzstandards in Einklang stehen. Nach Auffassung der Datenschutzbeauftragten ist die “aktuelle von Social-Plugin-Anbietern vorgesehene Funktionsweise [...] unzulässig, wenn bereits durch den Besuch einer Webseite und auch ohne Klick auf beispielsweise den „Gefällt-mir“-Knopf eine Übermittlung von Nutzendendaten in die USA ausgelöst wird, auch wenn die Nutzenden gar nicht bei der entsprechenden Plattform registriert sind.”

Empfehlungen für Webseitenanbieter zur rechtskonformen Nutzung von Social-Plugins geben die Datenschützer nicht. Stattdessen fordern sie lediglich Anbieter sozialer Netzwerke auf, bereits in den vergangenen Jahren formulierte Datenschutzstandards umzusetzen.

3 Comments

Wir befinden uns im Jahre 2011 n. Chr. Die ganze Welt ist von Facebook besetzt …die ganze Welt? Nein! Ein von unbeugsamen Galliern bevölkertes Dorf hört nicht auf, dem Eindringling Widerstand zu leisten. Und das Leben ist nicht leicht für Facebook, das als Besatzung in den befestigten Lagern Kiel, Dithmarschen, Elbmarschen und Holsteinische Schweiz liegt…

Angeführt wird der Widerstand vom Schleswig-Holsteinischen Datenschutzbeauftragten Thilo Weichert, der in einer am Freitag veröffentlichten Pressemeldung alle Schleswig-Holsteinischen Unternehmen und öffentliche Stellen auffordert, ihre Fanpages bei Facebook und Social-Plugins wie den „Gefällt mir“-Button auf ihren Webseiten zu entfernen. Das Unabhängige Landeszentrum für Datenschutz (ULD) begründet dieses Aufforderung wie folgt:

Nach eingehender technischer und rechtlicher Analyse kommt das ULD zu dem Ergebnis, dass derartige Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) bzw. das Landesdatenschutzgesetz Schleswig-Holstein (LDSG SH) verstoßen. Bei Nutzung der Facebook-Dienste erfolgt eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA und eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse. Wer einmal bei Facebook war oder ein Plugin genutzt hat, der muss davon ausgehen, dass er von dem Unternehmen zwei Jahre lang getrackt wird. Bei Facebook wird eine umfassende persönliche, bei Mitgliedern sogar eine personifizierte Profilbildung vorgenommen. Diese Abläufe verstoßen gegen deutsches und europäisches Datenschutzrecht. Es erfolgt keine hinreichende Information der betroffenen Nutzerinnen und Nutzer; diesen wird kein Wahlrecht zugestanden; die Formulierungen in den Nutzungsbedingungen und Datenschutzrichtlinien von Facebook genügen nicht annähernd den rechtlichen Anforderungen an gesetzeskonforme Hinweise, an wirksame Datenschutzeinwilligungen und an allgemeine Geschäftsbedingungen.

Der Datenschutzbeauftragte erwartet, dass dieser Aufforderung bis Ende September 2011 Folge geleistet wird und kündigt für den Fall, dass Schleswig-Holsteinische Websitebetreiber ihre Fanpages bei Facebook online lassen oder auf der eigenen Website weiter „Gefällt mir“-Buttons belassen, Sanktionen an. Dies können bei Unternehmen beispielsweise Untersagungsverfügungen und Bußgelder von bis zu 50.000,- Euro sein.

Der Datenschutzbeauftragte kündigt zudem an, das Facebook-Angebot weiter analysieren zu wollen, um die technische und rechtliche Analyse des ULD, die zu der aktuellen Pressemitteilung geführt hat, fortzuschreiben.

Nach unserem Kenntnisstand hat sich bislang noch kein weiterer Landesdatenschutzbeauftragter dieser neuen Gangart angeschlossen. Wir werden dies weiter verfolgen.

No Comments

Die Kommission für Jugendmedienschutz hat in der vergangenen Woche zum ersten Mal ein Jugendschutzprogramm positiv bewertet und damit einen großen Schritt in Richtung der offiziellen Anerkennung getan. Die Pressemitteilung der KJM ließe sich sogar dahingehend verstehen, dass die Anerkennung des vom Verein JusProg e.V. entwickelten Programmes nur noch von der tatsächlichen Implementierung des geprüften Konzeptes abhängt.

Das Programm wird auf  der Einbindung und Auslesung von XML-Tags in den gekennzeichneten Webseiten beruhen. Einen Generator zur Erstellung solcher  ”age-de.xml”-Label bietet der Verein auf seiner Webseite bereits an. Obwohl streng genommen der Einsatz des Programmes noch nicht den Anforderungen der §§ 5, 11 JMStV genügt, weil die (von der Positivbewertung zu unterscheidende) Anerkennung gemäß § 11 Abs. 2 JMStV gerade noch nicht ausgesprochen wurde, hat die KJM angedeutet, jedenfalls bei Inhalten “ab 16″ für die nächsten sechs Monate ein Auge zudrücken zu wollen. Wörtlich heißt es in der Pressemitteilung:

Damit möglichst viele Anbieter ihre Inhalte ab sofort altersdifferenziert klassifizieren, wird die KJM solche Anstrengungen bereits ab jetzt berücksichtigen. Bedingung ist, dass die Anbieter vor der ersten Anerkennung eines Jugendschutzprogramms nur klassifizierte Inhalte bis maximal der Altersstufe „ab 16“ zugänglich machen

Sollte das Programm die Hürde der offiziellen Anerkennung wirklich nehmen, stünde damit nach mehreren gescheiterten Modellversuchen erstmals seit der Einführung des § 11 JMStV im Jahr 2003 auch wirklich ein Jugendschutzprogramm zur Verfügung, das Anbieter von Spielen und anderem Content als Alternative zu den deutlich komplexeren Altersverifikationssystemen und den in der Medienrealität des Internets anachronistisch wirkenden Sendezeitbeschränkungen einsetzen könnten.

Update: In einer ausführlichen Presseerklärung kommentiert auch der G.A.M.E. Bundesverband die Positivbewertung und lädt zu einem Pressegespräch zum Jugendmedienschutz auf die Gamescom ein.

2 Comments

Eine kürzlich veröffentlichte Entscheidung des Landgerichts Berlin von September 2010 (LG Berlin – Urteil vom 14.09.2010 – Az.: 103 O 43/10) sorgt derzeit bei Anbietern werbefinanzierter Internetinhalte für Unruhe. Auf entsprechende Klage des Dachverbandes der Verbraucherzentralen untersagte das Gericht einem niederländischen Anbieter kostenloser Browsergames verschiedene Formen von Werbeeinblendungen, mit denen der Anbieter nach Ansicht des Gerichts gegen das Wettbewerbsrecht verstieß.

Mit ihrem Klageantrag wandten sich die Verbraucherschützer unter anderem gegen die Gestaltung der Werbebanner auf der primär an Kinder adressierten Plattform. Die Banner wiesen eine einheitliche Größe auf und enthielten einen um 90° gedrehten Schriftzug „WERBUNG“. Die Klägerin sah diese Kennzeichnung nicht als ausreichend an und führte aus, dass die auffällig gestalteten und teilweise animierten Werbebanner sich von den angebotenen Spielen nicht hinreichend unterscheiden ließen. Hierin lag nach Ansicht der Verbraucherschützer ein Verstoß gegen das Verschleierungsverbot aus § 4 Nr. 3 UWG an, wonach redaktionelle Inhalte und Werbung auch im Internet grundsätzlich zu trennen sind. Der von der Beklagten aufgebrachte Schriftzug „WERBUNG“ könne an dieser Einschätzung nichts ändern, da Kindern das ausreichende Leseverständnis fehle. Das Gericht folgte dieser Argumentation und stellte in seiner Begründung insbesondere auf die Ziel- und Nutzergruppe der Plattform ab:

Für Kinder sind […] Spiele und Werbung nicht klar zu unterscheiden. Der Werbebanner ist in die Seite geradezu eingebettet. Der Schriftzug “WERBUNG” verlangt vom Nutzer ein entsprechendes Leseverständnis. Kindern tendieren jedoch dazu, Dinge anzuklicken anstelle sie vollständig zu lesen. Darüber hinaus besteht die Gefahr, dass Kinder den Schriftzug nicht wahrnehmen, weil die auffällig gestalteten und animierten Werbebanner ihre gesamte Aufmerksamkeit auf sich ziehen und dabei den Eindruck erwecken, es handele sich um eine weitere interaktive Spielmöglichkeit.

Mit weiteren Klageanträgen rügten die Verbraucherschützer, dass die Besucher der Plattform nach der Auswahl eines Spiels nicht sofort zum gewählten Inhalt gelangten, sondern zunächst auf zwischengeschaltete Werbeeinblendungen (sog. Interstitials) weitergeleitet wurden. Diese Werbeeinblendungen konnten durch Anklicken einer Schaltfläche teilweise bereits nach 5 Sekunden übersprungen werden. In anderen Fällen war der Nutzer hingegen gezwungen, Werbeeinblendungen von bis zu 20 Sekunden abzuwarten, bevor das gewünschte Spiel startete.

Während das Gerichts das nach 5 Sekunden abschaltbare Interstitial als hinnehmbar beurteilte, erachtete es die längere Werbeeinblendung ohne Abschaltmöglichkeit als Verstoß gegen das wettbewerbsrechtliche Verbot unzumutbarer Belästigung nach § 7 Abs. 1 S. 1 UWG und führte zur Begründung aus:

Die einzige Möglichkeit des Nutzers, sich der Werbung zu entziehen, besteht darin, die Seite durch Schließen des Browserfensters zu verlassen. Dies ist auch bei Berücksichtigung der Interessen der Beklagten nicht hinnehmbar.

Zwar hat das Gericht die wirtschaftlichen Interessen des Anbieters an der Finanzierung der kostenlos bereitgestellten Inhalte grundsätzlich anerkannt, es maß diesen jedoch unter Hinweis auf andere Formen der Werbefinanzierung kein überwiegendes Gewicht bei:

Das Angebot der Beklagten ist kostenlos. Zur Refinanzierung ist sie auf Werbeeinnahmen angewiesen. Ohne die Werbeeinnahmen wäre die Beklagte gezwungen, den Geschäftsbetrieb einzustellen. Die Beklagte hat daher ein erhebliches Interesse an effektiver Werbung. Dem Gericht sind jedoch Internetseiten bekannt, auf denen ebenfalls für Nutzer kostenlose Browserspiele angeboten werden, die erfolgreich auf andere Werbeformen zu ihrer Refinanzierung zurückgreifen. Darüber hinaus ist die Effektivität einer Werbeform durchaus fragwürdig, wenn sie vom Nutzer als ausgesprochen lästig empfunden wird.

Während die Ausführungen des Gerichts zur Zulässigkeit der Werbebanner grundsätzlich überzeugen können, erscheint das zuletzt gefundene Ergebnis aus mehreren Gründen bedenklich:

Zunächst lässt der Entscheidungstext die im Rahmen des § 7 Abs. 1 S. 1 UWG vorzunehmende Interessenabwägung vermissen. Das Gericht belässt es insofern bei dem schlichten Hinweis, das Schließen der Seite als einzige Möglichkeit des Nutzers, sich der Werbung zu entziehen, sei nicht hinnehmbar. Die erforderliche Gegenüberstellung des (vermeintlich) widerstreitenden wirtschaftlichen Interesses des Anbieters und dem Interesse des Nutzers findet jedoch nicht statt.

Auch der Verweis des Gerichts auf „andere Werbeformen“ erscheint zumindest überflüssig, da der Unterlassungsanspruch im Ergebnis nicht die Werbeform des Interstitials als solche betraf, sondern lediglich seine konkrete Ausgestaltung. Ebenso wirken die Ausführungen zur Effektivität der Werbeform deplaziert, da bei der rechtlichen Beurteilung des Wettbewerbsverstoßes keine generellen Wirtschaftlichkeitserwägungen anzustellen sind – diese unterliegen allein der unternehmerischen Entscheidung des Anbieters und dürfen nicht zum Anknüpfungspunkt für die wettbewerbsrechtliche Zulässigkeit einer Werbeform gemacht werden.

Für die Entscheidung, die zwanzigsekündige Werbeeinblendung vor der Weiterleitung zum Spiel als unzumutbare Belästigung nach § 7 Abs. 1 S. 1 UWG einzuordnen, wäre aufgrund der Bedeutung des mittlerweile rechtskräftigen Richterspruchs eine ausführlichere Begründung wünschenswert gewesen. So bleibt unklar, wo genau zwischen 5 und 20 Sekunden die zeitliche Grenze zur unzumutbaren Belästigung überschritten wird.

Fazit:
Auch wenn das teilweise willkürlich erscheinende Urteil aus Berlin zahlreiche Fragen offen lässt, dürfte es mittlerweile der Urteilssammlung der Abmahnwirtschaft hinzugefügt worden sein. Verwender von vorgeschalteten Werbeeinblendungen sollten die jeweiligen Inhalte auf Länge der Einblendung und eine rechtzeitige Abbruchsmöglichkeit überprüfen und gegebenenfalls anpassen. Soweit nach spätestens 5 Sekunden die Möglichkeit besteht, die Einblendung abzubrechen bzw. zu überspringen, ist nach aktueller Rechtslage nicht mit einer Abmahnung zu rechnen. Auch wenn das Urteil sich konkret nur zu Werbeeinblendungen vor Spielen äußert, dürfte die Argumentation des Gerichts auf sämtliche Formen vorgeschalteter Werbung übertragbar sein. Betroffen wären daher grundsätzlich auch Anbieter von Video-Inhalten, die vor ihren Videos nicht abschaltbare Werbefilme (sog. Pre-Roll-Ads) zeigen.

1 Comment