E-Mail Marketing: wem dürfen Newsletter oder Werbemails geschickt werden?

Eigentlich ist es ganz einfach: der Newsletterversand sowie der Versand von E-Mail-Werbung ist zulässig, sofern dafür eine vorherige ausdrückliche Einwilligung vorliegt.

Diese Einwilligung kann auch telefonisch erfolgen. Im Streitfall ist es jedoch von Vorteil, wenn entweder eine schriftliche oder elektronische Einwilligung vorliegt. Hier hat sich das Double-Opt-In-Verfahren bewährt, welches in der Regel auch vor Gericht Bestand hat.

Dabei wird nach dem Eintrag für den Newsletter automatisch eine E-Mail mit einem Aktivierungslink an die hinterlegte E-Mail-Adresse versendet. Erst wenn der Empfänger den Aktivierungslink anklickt, wird die Mailadresse für den Newsletterversand freigeschaltet.

E-Mail Marketing: neue Kunden gewinnen

Es klingt so einfach: statt den teuren Postversand zu wählen werden einfach hunderte oder tausende potentielle Kunden per E-Mail kontaktiert. Bleibt nur das Problem, woher die E-Mail-Adressen bezogen werden sollen. Doch auch dafür gibt es eine Lösung: E-Mail-Listen lassen sich einkaufen und für das eigene E-Mail Marketing nutzen. Der Einkauf von E-Mail-Adressen ist nicht verboten.

Bleibt die Frage, ob rechtlich auch alles erlaubt ist, was Umsatz verspricht.

E-Mail-Adressen einkaufen

Beim Einkauf von E-Mail-Adressen für das eigene E-Mail Marketing gibt es einige Herausforderungen:

1. Während sich problemlos umfangreiche Adressdaten einkaufen lassen sind diese Daten gegebenenfalls nicht mehr aktuell. Ein Teil der E-Mail-Adressen gibt es nicht mehr, der Empfänger hat nach der Hochzeit den Namen gewechselt usw.
2. Eine wahllose Ansammlung von Adressaten nützt wenig. Diese müssen sich auch für die angebotenen Produkte oder Dienstleistungen interessieren.
3. Rechtsaspekte: Sie dürfen E-Mail-Adressen nur für Marketingzwecke verwenden, wenn der Inhaber seine ausdrückliche Zustimmung erteilt hat. Liegt diese Zustimmung nicht vor, so haftet nicht der Verkäufer der E-Mail-Adressen sondern derjenige, der die unerwünschte E-Mail versendet hat.

In unserem Beitrag E-Mail-Listen kaufen – ist das sinnvoll? erfahren Sie mehr über Sinn und Unsinn eingekaufter Mailing-Listen.

E-Mail-Adressen von Bestandskunden nutzen

Bestandskunden dürfen auch ohne explizite Einwilligung E-Mails zugesandt werden. Nach § 7 Absatz 3 des Gesetzes gegen den unlauteren Wettbewerb (ULG) gilt:

[…] ist eine unzumutbare Belästigung bei einer Werbung unter Verwendung elektronischer Post nicht anzunehmen, wenn

1. ein Unternehmer im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung von dem Kunden dessen elektronische Postadresse erhalten hat,
2. der Unternehmer die Adresse zur Direktwerbung für eigene ähnliche Waren oder Dienstleistungen verwendet,
3. der Kunde der Verwendung nicht widersprochen hat und
4. der Kunde bei Erhebung der Adresse und bei jeder Verwendung klar und deutlich darauf hingewiesen wird, dass er der Verwendung jederzeit widersprechen kann, ohne dass hierfür andere als die Übermittlungskosten nach den Basistarifen entstehen.

 

Uneinheitlich wird von den Gerichten allerdings bewertet, wie weit in der Vergangenheit eine Kundenbestellung maximal liegen darf, damit seine Daten für weitere Marketingmaßnahmen verwendet werden dürfen.

E-Mail-Adressen selbst akquirieren

Die beste – und rechtlich sicherste – Lösung ist, die E-Mail-Adressen selbst zu akquirieren. Dazu bietet sich ein Newsletter mit Double-Opt-In an. Dadurch erteilt der Benutzer einerseits seine explizite Zustimmung für die Nutzung seiner Mailadresse, andererseits wird sichergestellt, dass er sich auch für die Angebote oder Dienstleistungen des Unternehmens interessiert.

Damit sich Besucher jedoch überhaupt für den Newsletter interessieren, muss die entsprechende Website meist auch über ein interessantes oder informatives Angebot verfügen.

Eine beliebte Methode zur Akquirierung von E-Mail-Adressen sind zudem Benutzeraccounts und Downloads. Damit der Benutzer die angebotene Dienstleistung nutzen kann, muss er einen Benutzeraccount erstellen. Im Zuge der Anmeldung kann ihm dann auch die Anmeldung zum Newsletter angetragen werden. Ebenso ist ein Download – beispielsweise von einer informativen PDF-Datei – nur nach vorheriger Anmeldung mit den eigenen Kontaktdaten und der eigenen E-Mail-Adresse möglich.

Stichworte: E-Mail Marketing, Newsletter, E-Mail-Werbung

Der Beitrag E-Mail Marketing – was ist erlaubt? erschien zuerst auf Webdesign Tipps / Webdesign Blog.

Die Hype um das – mittlerweile nicht mehr so neue – Marketing via Influencer ist in vollem Gange. Doch was dürfen Influencer eigentlich? Und wann überschreiten sie die Grenze zur Schleichwerbung und müssen rechtliche Folgen befürchten?

Die Idee ist ebenso einfach wie bestechend: Influencer (= „Beeinflusser“) bauen sich in den Social-Media-Netzwerken Fangemeinden auf mit dem Ziel, möglichst viele „Follower“ zu gewinnen. Wer zehntausende, hunderttausende oder gar Millionen von Followern hat, hat auch die Möglichkeit, diese Zielgruppe zu beeinflussen.

Kylie Jenner ist 21 Jahre jung und schon fast Milliardärin. „Knackt“ sie die Grenze, so überholt sie den bisherigen Rekordhalter Mark Zuckerberg der mit Facebook im Alter von 23 Jahren Milliardär wurde.

Die Einnahmen erzielt sie vornehmlich mit Schminktipps, die sie sie unter anderem auf Instagram postet. Sie erreicht eine riesige Fangemeinde, die andächtig auf jede Neuigkeit wartet – und von denen gibt es täglich mehrere. Kylie geht zum Friseur, sie kauft sich einen Kaffee, bricht sich einen Fingernagel ab und so weiter. Erstaunlicher Weise gibt es Millionen Menschen, die daran Anteil nehmen. Empfiehlt so jemand ein Produkt und nimmt dafür Bezahlung, so wird er (oder sie) zum Influencer. Je nach Zahl der Follower und damit der Reichweite der Empfehlung ist eine solche Empfehlung großen Labels im Falle von Top-Influencern durchaus bis zu einer Million Dollar wert.

Was dürfen Influencer?

Influencer dürfen für ihre eigenen Produkte werben. Sie dürfen selbstverständlich auch Selfies von sich posten oder ihren Tagesablauf mit ihren Fans teilen.

Wann machen Influencer Schleichwerbung?

Kritisch wird es, wenn Influencer Schleichwerbung machen. So sind die meisten Influencer auf Instagram Privatpersonen und keine Unternehmen. Manche werben gegen eine Vergütung für Produkte oder Dienstleitungen von Firmen. Inzwischen müssen sie dann allerdings mit Abmahnungen rechnen, denn gemäß § 5a UWG (Gesetz gegen den unlauteren Wettbewerb) sind journalistische und kommerzielle Inhalte strikt zu trennen. Influencer müssen den Verbraucher darüber aufklären, ob sie eine persönliche Emfpehlung geben oder gegen Bezahlung einen Werbebeitrag veröffentlichen.

Das bedeutet: erhält der Influencer für seine Empfehlungen keine Vergütung in Form eines Geldbetrags oder anderer Art (z.B. in Form von kostenlos überlassenen Produkten), dann liegt auch keine Schleichwerbung vor. Ebenso darf er seine eigenen Produkte bewerben.

Es besteht allerdings auch die Gefahr, dass Empfehlungen als Schleichwerbung eingestuft werden, wenn ein Influencer allzu offensiv Kaufempfehlungen ausspricht, werbemäßige Phrasen benutzt oder ein Produkt oder eine Dienstleistung ausschließlich positiv bewertet.

Wie können sich Influencer vor rechtlichen Konsequenzen schützen?

Vor rechtlichen Konsequenzen können sich Influencer schützen, indem sie ihre (Werbe-)Beiträge oder (Werbe-)Medien eindeutig kennzeichnen. Damit dürfte für den Auftraggeber die Werbung durch den Influencer allerdings deutlich an Attraktivität verlieren. Denn dann weiß der Verbraucher, dass es sich nicht um eine persönliche Empfehlung handelt – beispielsweise weil der Influencer wirklich von dem Produkt überzeugt ist – sondern um eine schnöde Werbemaßnahme.

Wie kennzeichnen Influencer richtig?

1. (Anzeige-)Texte
   Dient ein Text (auch) dem Ziel der Produktplatzierung bzw. Schleichwerbung, so muss der Influencer eindeutig auf das Sponsoring hinweisen.
2. Fotos
   Bei der Veröffentlichung von Fotos mit Werbeinhalt – beispielsweise auf Instagram – können Schlagwörter wie „Sponsored“, „Anzeige“ oder „Werbung“ in dem Bild oder über einen Hashtag integriert werden, der gut erkennbar und in unmittelbarer Nähe platziert wird.Vorsicht ist bei der Verwendung des Wortes „sponsored“ geboten. Obwohl insbesondere die jüngere Generation mit solchen englischen Begriffen vertraut ist, halten einige Gerichte diese Art der Kennzeichnung für nicht ausreichend und fordern eine deutschsprachige Kennzeichnung.
3. Videos
   Analog zu Fotos sollten in einem Werbevideo entsprechende Schlagwörter in den Einspann sowie Abspann des Videos integriert werden, die eindeutig auf den Werbecharakter hinweisen. Sollte das Video ausschließlich dazu dienen, ein Produkt oder eine Dienstleistung zu bewerben, so ist dies über die gesamte Laufzeit des Videos durch die Einblendung von Wörtern wie „Werbung“, „Werbesendung“ oder „Dauerwerbesendung“ deutlich zu machen.

Rechtliche Konsequenzen für Schleichwerbung

Entsprechende Hinweise sorgen gegenüber dem Verbraucher für Transparenz. Sie sind jedoch bei Influencern unbeliebt, da es schwieriger wird, Werbekunden zu gewinnen oder die Werbekunden dann die Preise drücken.

Veröffentlicht ein Influencer Schleichwerbung, so kann er dafür haftbar gemacht werden. Aber auch das beauftragende Unternehmen kann in Regress genommen werden, auch wenn es selbst keinen Beitrag veröffentlicht hat sondern dies über den Influencer geschieht.

Stichworte: Was dürfen Influencer?, Wann machen Influencer Schleichwerbung?, Instagram-Influencer

Auch interessant: Fotolia Fotos auf Facebook veröffentlichen

Der Beitrag Was dürfen Influencer? Wann machen Influencer Schleichwerbung? erschien zuerst auf Webdesign Tipps / Webdesign Blog.

Spätestens im Januar, Februar oder März 2018 hatte wohl so ziemlich jeder vom „Schreckgespenst DSGVO“ gehört. Die Medien haben sich förmlich überschlagen und Unternehmen erlebten angespannte Zeiten. Insbesondere solche, die die DSGVO vollkommen verschlafen haben – und das waren längst nicht nur die „Kleinen“.

Dabei gab es exakt zwei Jahre Vorlaufzeit bis Inkrafttreten der Datenschutzgrundverordnung – viele Zeit, um sich vorzubereiten. Für viele aber zugleich eine Vorbereitungszeit, die für solch eine Mammut Aufgabe auch dringend erforderlich war.

Dann war es am 25.05.2018 soweit. Auch Webagenturen haben ganz besonders in den Wochen davor unter der heißen Phase zu leiden gehabt. Manche Kunden meldeten sich erst ein oder zwei Tage vorher, ob man „mal eben schnell“ noch ihre Website absichern könne. Dabei wurden sie bereits Monate im Voraus über die anstehenden Änderungen und erforderlichen Schritte informiert.

Ein, zwei Wochen nach Inkrafttreten der DSGVO wurde es plötzlich recht still um dieses Thema. Wer nicht gezielt danach suchte, erhielt praktisch keine Informationen mehr. Wir aber möchten uns nach der großen Hype einmal mit folgenden Fragen beschäftigen:

• Ist die DSGVO erfolgreich?
• Wem schadet die DSGVO?
• Welche Auswirkungen hat die DSGVO?
• Welche Folgen hat die DSGVO für große Unternehmen?

Ist die DSGVO erfolgreich?

Ziel der Datenschutzgrundverordnung (DSGVO) ist der Verbraucherschutz. Die DSGVO muss sich also daran messen lassen, wie effizient die neuen Regelungen die Verbraucher schützen.

Ein großer Vorteil für die Verbraucher ist, dass Unternehmen – auch die „Großen“ wie Google oder Facebook – verpflichtet werden, bei einer Anfrage mitzuteilen, welche Informationen sie über den Verbraucher gespeichert haben. Und dass es „ein Recht auf Vergessen“ gibt, seine Daten auf Antrag also auch wieder gelöscht werden müssen.

Bei einer solch umfangreichen Verordnung gibt es natürlich noch viele weitere Aspekte. De facto ist es aber so, dass die DSGVO Unternehmen aber auch Webseitenbetreiber zwar zu einer möglichst sparsamen Erhebung der Benutzerdaten und mehr Transparenz zwingt, zugleich jedoch auch für ein erhebliches Maß an Rechtsunsicherheit sorgt.

Bisher gewinnt man den Eindruck, dass der Schaden den Nutzen bei weitem überwiegt und die DSGVO vor allem bei Rechtsanwälten für sprudelnde Einnahmen sorgt. Sei es, weil sie ihre Mandanten bezüglich der DSGVO beraten, sei es, dass sie die neuen Möglichkeiten zur Abmahnung nutzen.

Wem schadet die DSGVO?

Den Unternehmen, die für die Umsetzung der DSGVO-Vorgaben einen erheblichen Zusatzaufwand haben, aber auch den „Kleinen“. Beispielsweise Vereinen oder Webseitenbetreibern, die sich mit der komplexen rechtlichen Materie auseinandersetzen und Vorsorgemaßnahmen treffen müssen.

Webseitenbetreiber sind verpflichtet, in der Datenschutzerklärung genau zu beschreiben, welche Daten erhoben und wie sie verwendet werden. Da die meisten Webseitenbetreiber weder das rechtliche Know-how habe noch das Budget, um einen Rechtsanwalt zu beauftragen, greifen sie auf Standard-Formulierungen zurück. Das bietet zwar eine gewisse Sicherheit. Da es aber für die neuen Vorgaben noch keine Präzedenzurteile der Rechtsprechung gibt, bleibt dennoch eine erhebliche Rechtsunsicherheit.

Beispiele für die neue Rechtsunsicherheit durch die DSGVO

Social Media

Dürfen Social Media eingesetzt werden und in welchem Umfang? Schon vor Inkrafttreten der DSGVO riskierten Webseitenbetreiber eine Abmahnung, wenn sie die Standard-Codes von Anbietern wie Facebook in ihre Website integrierten. Mittlerweile ist umstritten, ob Sharing-Buttons überhaupt noch rechtssicher eingesetzt werden können. Selbst wenn Tools wie Shariff genutzt werden und entsprechende Hinweise in der Datenschutzerklärung vorhanden sind.

Google Tools

Lassen sich Google Tools wie Google Analytics, Google Maps oder Google Web-Fonts noch rechtsicher einsetzen?

Der Einsatz von Google Analytics erfordert mindestens einen Vertrag zur Auftragsdatenverarbeitung mit Google sowie entsprechende Informationen in der Datenschutzerklärung. Wird Conversion-Tracking eingesetzt, so wird es noch komplizierter.

Vom Einsatz von Google Maps raten Rechtsanwälte derzeit eher ab. Denn Google ist in der Lage, ab dem Zeitpunkt, wo der Besucher die Inhaltsseite mit der Google-Maps-Karte betritt, Informationen über ihn zu sammeln. Hier wäre eine zweistufige Lösung erforderlich: erst müsste der Besucher zustimmen, dass Daten über ihn gesammelt werden, danach erst wird Google Maps geladen.

Viele CMS-Systeme setzen standardmäßig Google Webfonts ein. Beispielsweise WordPress. Auch hier ist umstritten, ob der Einsatz der Google Webfonts DSGVO-konform ist. Denn dabei werden Daten an Google übertragen. Wer sich absichern möchte, sollte die Fonts herunterladen und über den eigenen Webserver in seine Website integrieren. Damit dürften viele Webseitenbetreiber überfordert sein – insbesondere wenn das eingesetzte Theme keine Möglichkeit bietet, das Laden der Google Webfonts automatisch per Checkbox-Auswahl abzuschalten.

Datenspeicherung auf dem Webserver und Aufbewahrungsfristen

Welche Daten dürfen auf dem Webserver gespeichert werden? Ist es ein berechtigtes Interesse des Webseitenbetreibers, die vollständige IP der Besucher in den LogFiles zu speichern? Denn nur so hat er bei einem Hackerangriff die Möglichkeit, den Angriff zurückzuverfolgen und die IP zu sperren. Oder überwiegt das Recht der Besucher auf Datenschutz und die IP-Adresse darf nur anonymisiert abgespeichert werden?

Manche Hoster räumen ihren Kunden keine Möglichkeit ein, die Aufbewahrungszeit der LogFiles individuell einzustellen sondern es erfolgt grundsätzlich erst nach (z.B.) 180 Tagen eine automatische Löschung. Wie lange aber darf der Webseitenbetreiber die Daten überhaupt aufbewahren? Ab wann überwiegt das Interesse des Datenschutzes das berechtigte Interesse des Webseitenbetreibers, Informationen über seine Besucher zu erlangen und sich zu schützen? Schon nach einer Woche? Erst nach einem Monat? Womöglich nach einem Jahr?

Die vorgenannten Beispiele sind natürlich nicht abschließend. Sie zeigen aber die grundsätzliche Unsicherheit und Antworten auf die Frage „Wem schadet die DSGVO?“. Durch entsprechende Maßnahmen können sich Webseitenbetreiber bestmöglich absichern. Ein massives Restrisiko verbleibt aber schon allein deshalb, weil viele Fragen noch ungeklärt sind. In den nächsten Monaten und Jahren werden sie die Gerichte beschäftigen, die im Rahmen von Präzedenzurteilen dann (hoffentlich) Antworten auf Fragen wie „darf ich Social Media-Buttons / Google Analytics / Google Maps / Google Web-Fonts einsetzen?“ geben?

Welche Auswirkungen hat die DSGVO?

Fatale.

Ihre Umsetzung ist mit einem erheblichen Aufwand verbunden. Dazu gehören Personalaufwand und hohen Kosten für Unternehmen aber auch Vereine.

Eigentlich sollen die Bürger vor allem vor „den Großen“ geschützt werden. Vor der Macht von Konzernen wie Google oder Facebook und deren extremer Datensammelwut. Aber gerade bei „den Kleinen“ können die neuen Regelungen zum Kollateralschaden führen.

Folgen der DSGVO

Faz.net berichtet von skurrilen Dingen die im Gefolge der DSGVO passieren – diese Beispiele geben in gewisser Weise die perfekte Antwort auf die Frage „Ist die DSGVO erfolgreich?“:

Es gibt Vereine, wo der gesamte Vorstand zurückgetreten ist. Darunter auch viele erfahrene, alteingesessene Mitglieder, die nach vielen Jahrzehnten einfach keine Lust mehr haben, für die neuen Risiken „ihren Kopf hinzuhalten“. Die nicht bei hunderten von Mitgliedern aufwendig die Einwilligung zur Kontaktaufnahme einholen möchten. Und das auch noch persönlich, weil sie ihnen vor deren Zustimmung keine Briefe mehr schicken dürfen.

Betroffen sind Blogs und Websites deren Betreiber Angst vor den neuen Risiken haben und ihr Online-Angebot zeitweise oder vollständig abschalten. Selbst die Rechtsanwaltskammer Düsseldorf – deren Mitglieder vom Fach sind! – hatte Ihr Webportal pünktlich zum Inkrafttreten der DSGVO abgeschaltet.

Manche Nicht-Europäischen Unternehmen haben keine Lust, sich von der EU vera…lbern zu lassen und bieten ihre Apps nicht mehr oder nur noch eingeschränkt für den europäischen Raum an.

Einige amerikanische Medien sperren ihr Informationsangebot für Europäer, da sie sich nicht auf die europäischen Datenschutzregeln einlassen wollen.

Es wird von deutschen Zeitungen berichtet, die ihren Bürgern nicht mehr wie bisher in der Tagesausgabe zum Geburtstag gratulieren, weil sie ohne deren Einwilligung solche Daten nicht mehr speichern dürfen.

Und dann gibt es noch Influencer wie „Bibi“, die auf ihrem Twitter-Account binnen eines Tages 60.000 Follower verloren hat, die zu jung waren, um die Altersgrenze von Twitter zu erfüllen.

Darüber hinaus haben viele Anwendungen Einzug in den Betriebs-Alltag gehalten:
So fotografieren beispielsweise Elektriker gerne vor Ort Steckdosen oder spezielle Bauteile und können diese online über WhatsApp direkt nachbestellen. Ohne ausdrückliche, schriftliche Zustimmung des Kunden ist dieses Vorgehen nun auch nicht mehr zulässig.

Welche Folgen hat die DSGVO für große Unternehmen?

Zu Anfangs hat zum Beispiel Facebook von der DSGVO profitiert. Also ausgerechnet einem Unternehmen, dessen schier unbegrenzte Datensammelwut zu brechen die DSGVO angetreten ist.

Denn bisher hat der Hamburger Datenschutzbeauftragte Facebook verboten, die Daten seiner Facebook- und WhatsApp-Nutzer zu vernetzen und so noch genauere Nutzerprofile zu erstellen. Seit Inkrafttreten der DSGVO ist der Hamburger Datenschutzbeauftragte allerdings nicht mehr zuständig und Facebook profitiert davon.

Mittlerweile schadet die DSGVO aber auch Facebook. Ende Juli 2018 hat die Tagesschau darüber berichtet, dass Facebook allein in Deutschland mehrere Millionen aktive Nutzer verloren hat. Die Höhe der Werbeeinnahmen, welche Facebook von seinen Kunden verlangen kann, orientiert sich an der Anzahl der Nutzer. Melden sich Nutzer ab oder verwenden sie Facebook nicht mehr, so brechen auch die Werbeeinnahmen ein.

Zuletzt hatte die Facebook-Aktie massiv an Wert verloren. Tagesschau.de berichtete am 27.07.2018, dass allein das Vermögen des Facebook-Konzernchefs Mark Zuckerberg innerhalb eines Tages um fast 16 Milliarden Dollar geschrumpft ist. Das Unternehmen hat auf einen Schlag 120 Milliarden Dollar an Wert verloren – das entspricht ungefähr dem aktuellen Börsenwert von SAP.

Dies ist natürlich nicht vornehmlich oder gar ausschließlich der DSGVO geschuldet.

Das Problem der Fake News oder der Skandal um den Datenmissbrauch durch Cambridge Analytica im Rahmen des US-Wahlkampfs spielen dabei ebenso eine Rolle. Fakt ist aber, dass das Thema „mangelhafter Datenschutz“ mitverantwortlich für den Rückgang der Nutzerzahlen und somit auch für den Rückgang des Unternehmenswertes ist.

Viele Mittelständler und Vereine brechen in Anbetracht des wachsenden Drucks durch die neuen Datenschutzregeln ein und schließen ihre Social-Media-Portale. Und dazu gehört vor allem auch ihre Facebook-Seite. Selbst wenn derzeit noch unklar ist, ob und in welchem Umfang Abmahnungen drohen, handelt es sich hierbei nicht nur um Panikmache:

Der Europäische Gerichtshof (EuGH) hat entschieden, dass Betreiber von Facebook-Seiten datenschutzrechtlich mitverantwortlich für etwaige Datenschutzverstöße des Konzerns sind. Das mag absurd klingen, hat aber gravierende Folgend und birgt enorme Haftungsrisiken.

Hohe Strafzahlungen wirken auf Unternehmen wie Facebook oder Google zwar abschreckend. Sind aber in Anbetracht ihrer Kapitalrücklagen verkraftbar. Anders sieht das meist bei kleinen und mittelständischen Unternehmen sowie Vereinen aus.

Stichworte: Wem nützt die DSGVO?, Ist die DSGVO erfolgreich? Fazit zur DSGVO?

Der Beitrag Ist die DSGVO erfolgreich? erschien zuerst auf Webdesign Tipps / Webdesign Blog.

Fotos auf Facebook veröffentlichen: Grundsätzlich ist jedes Foto durch das Urhebergesetz als Lichtbildwerk oder Lichtbild geschützt – unabhängig von dessen künstlerischem Anspruch. Je nach Qualität und Schöpfungshöhe wird zwischen Lichtbildwerken und Lichtbildern unterschieden.

Unter Lichtbildwerke fallen kreative Fotos, die sich durch einen ästhetischen Anspruch, besondere Motivwahl, Lichttechnik und ähnliches auszeichnen. Sie sind nach § 2 Abs. 1 Nr. 5 UrhG (Urhebergesetz) geschützt.

Lichtbilder sind einfachere Fotos, die nach § 72 Abs. 1 UrhG geschützt sind.

Was passiert mit den Nutzungsrechten, wenn ein Bild bei Facebook eingestellt wird?

Der Fotograf eines Bildes hat automatisch Urheberrechte an dem von ihm erstellten Bild. Dieses Recht erlischt bei Lichtbildwerken 70 Jahre nach dem Tod des Urhebers (§ 64 UrhG) bzw. bei Lichtbildern 50 Jahre nach dem ersten Erscheinen des Bildes (§ 72 Abs. 3 UrhG).

Das Urheberrecht selbst ist nicht übertragbar und gilt auch dann weiter wenn der Fotograf die Nutzungsrechte an Dritte überträgt. Als Urheber darf er darüber entscheiden, wie das Foto genutzt werden soll und wer es öffentlich zugänglich machen darf.

Mittels der Allgemeinen Geschäftsbedingungen sichert sich Facebook einfache Nutzungsrechte an Bildern, die von den Benutzern hochgeladen werden.

Die AGB von Facebook legen (Punkt 2.1) fest:

Für Inhalte, die durch Rechte am geistigen Eigentum geschützt sind, wie Fotos und Videos (IP-Inhalte), erteilst du uns ausdrücklich nachfolgende Genehmigung, vorbehaltlich deiner Einstellungen für Privatsphäre und Apps: Du gewährst uns eine nicht-exklusive, übertragbare, unterlizenzierbare, gebührenfreie, weltweite Lizenz für die Nutzung jedweder IP-Inhalte, die du auf bzw. im Zusammenhang mit Facebook postest (IP-Lizenz). Diese IP-Lizenz endet, wenn du deine IP-Inhalte oder dein Konto löschst; es sei denn, deine Inhalte wurden mit anderen geteilt und diese haben die Inhalte nicht gelöscht.

Was bedeutet das für die Nutzungsrechte des Fotografen?

Wer Bilder bei Facebook hochlädt, akzeptiert dabei auch automatisch die AGB von Facebook. Diese Akzeptanz wird nicht ungültig, wenn – sozusagen als „Trick“ – den Geschäftsbedingungen widersprochen wird.

Auch wenn die nicht-exklusive Übertragung der Nutzungsrechte zunächst harmlos klingt, so kann sie weitreichende Folgen haben. Denn damit darf der Fotograf seine Bilder zwar weiterhin woanders veröffentlichen und er darf auch weiterhin Dritten eine Lizenz für die Nutzung der Bilder einräumen. Aber der Fotograf besitzt an diesen Bildern keine vollumfänglichen Nutzungsrechte mehr. Möchte er die exklusiven Nutzungsrechte an einen Kunden übertragen, so ist dies nicht mehr zulässig, wenn Facebook nicht-exklusive Nutzungsrechte an diesen Bildern besitzt.

Zudem räumt sich Facebook durch seine AGB das Recht ein, die hochgeladenen Bilder an Dritte – beispielsweise Unternehmen – weiter zu lizensieren. Und andere Nutzer erhalten die Möglichkeit Ihre Fotos als Privatkopie zu verwenden. Auch öffentliche Medien wie Zeitungen oder Fernsehen dürfen gemäß § 50 UrhG das Foto zur Bebilderung ihrer Berichterstattung verwenden.

Können Facebook die Nutzungsrechte wieder entzogen werden?

Gemäß Punkt 2.1 der AGB von Facebook gilt:

Diese IP-Lizenz endet, wenn du deine IP-Inhalte oder dein Konto löschst; es sei denn, deine Inhalte wurden mit anderen geteilt und diese haben die Inhalte nicht gelöscht.

Im Klartext bedeutet dies: wird das Facebook-Konto gelöscht, so erlöschen auch die Nutzungsrechte von Facebook an den hochgeladenen Bildern. Es sei denn, die Bilder wurden inzwischen von anderen Benutzern geteilt. Dann muss der Fotograf laut AGB von Facebook alle Facebook-Benutzer, die seine Bilder geteilt haben, dazu auffordern, die entsprechenden Bilder zu löschen.

Die Rechsanwaltskanzlei Gulden Röttger hat dazu allerdings einen interessanten Beitrag veröffentlicht:

Der bekannte Cartoonist Michael Holtschulte wies auf folgendes hin:

Wenn ein Bild GETEILT wurde, verschwinden die geteilten Postings anderer FB-Teilnehmer ebenfalls, bzw. der ursprüngliche Link ist nicht mehr auffindbar, wenn man das betreffende Foto oder seinen Account löscht.

Gulden Röttger Rechtsanwälte haben diese Aussage geprüft und verifiziert. Aus technischer bedeutet das: Wird ein Foto geteilt und in der Ausgangsquelle / im Ausgangspost wieder gelöscht, so verschwinden das Foto bei den Facebook-Benutzern, die es geteilt haben. Und zwar unabhängig davon, ob nur ein Foto geteilt wurde, oder ein Bild mit zusätzlichem Text.

Damit „passt“ die Aussage aus den AGB von Facebook nicht zur technischen Realität. Es darf darüber spekuliert werden, ob dieser Passus aus den AGB – welcher bereits 2014 vorhanden war – mittlerweile schlicht und einfach veraltet ist.

Ist die Einforderung der Nutzungsrechte durch Facebook überhaupt zulässig?

Wenn ein amerikanischer Konzern wie Facebook seine Dienstleistungen in Deutschland anbietet, unterliegen diese in Deutschland auch dem hiesigen Recht.

Alexander Grundmann führt dazu auf urheberrecht-leipzig.de aus, dass das Landgericht Berlin die Geschäftsbedingungen für rechtswidrig hält:

Das erste Urteil zu den Geschäftsbedingungen von Facebook stammt aus dem Jahr 2012 vom Landgericht Berlin (Urteil vom 06.03.2012 – 16 O 551/1). Hier ging es ursprünglich um den so genannten „Freundefinder“- E-Mails Dienst, mit welchem ein Facebook-Nutzer eine E-Mail an seine andere E-Mail Kontakte versenden konnte, mit der Aufforderung, sich ebenfalls bei Facebook anzumelden. Das Landgericht sah darin eine unzulässige Werbemail nach § 7 II Nr. 3 UWG.

In diesem Zusammenhang stellte das Gericht auch fest, dass die “IP-Lizenz”, mit der Facebook die Rechte an den Fotos der Nutzer eingeräumt wird, gemäß § 307 II Nr. 1 BGB unwirksam ist. Die vollumfängliche Nutzungsübertragung der Rechte auf Facebook an allen Werken die man dort hochlädt, verstößt gegen den Zweckübertragungsgedanken aus § 31 V UrhG.

Am 24.01.2014 hat das Kammergericht Berlin dieses Urteil bestätigt. Da Facebook dennoch nicht handelte, hat das Landgericht Berlin mit Beschluss vom 11.02.2016 schließlich ein Ordnungsgeld in Höhe von 100.000 EUR gegen Facebook verhängt.

Wie sollten Fotografen sich Facebook gegenüber verhalten?

Fotos auf Facebook veröffentlichen: Wer keinerlei Wert auf seine selbst erstellten Bilder legt, kann sie weiterhin bedenklos bei Facebook veröffentlichen. Es gibt jedoch viele Fotografen, die Wert auf die Nutzungsrechte an ihren Bildern legen. Dazu gehören längst nicht nur professionelle Fotografen. Auch wer beispielsweise eine Website über Fotografie betreibt und dort fotografisch anspruchsvolle Bilder präsentiert, hat oft ein reges Interesse an den exklusiven Nutzungsrechten an seinen Fotos. Und wem beispielsweise interessante Aufnahmen bei einem Event oder besondere Tieraufnahmen gelungen sind, welche sich später womöglich verkaufen lassen, sollte ebenfalls darauf achten, die Nutzungsrechte nicht leichtfertig aus der Hand zu geben.

Aktuell herrscht wenig Transparenz darüber, wie genau Facebook die eingeforderten Nutzungsrechte verwertet und ob diese zur Unterlizensierung verwendet werden.

Andererseits bietet die Social Media-Plattform Facebook die Möglichkeit, seine fotografischen Werke der Öffentlichkeit vorzustellen und auf diesem Wege seinen Bekanntheitsgrad zu steigern oder gar neue Kunden bzw. Auftraggeber zu gewinnen.

Dazu kann zu einem „Trick“ gegriffen werden: bei Facebook besteht nicht nur die Möglichkeit, Fotos direkt hochzuladen. Es lässt sich auch ein Link zur eigenen Website posten. Dabei stellt Facebook automatisch eine Auswahl der Bilder bereit, die auf der eingetragenen Zielseite gefunden werden. Hier können Sie alle oder einzelne Bilder auswählen und auf diesem Wege im Facebook-Posting anzeigen.

Stichworte: Nutzungsrechte von Fotografen, Fotos auf Facebook veröffentlichen

Der Beitrag Fotos auf Facebook veröffentlichen – Nutzungsrechte von Fotografen erschien zuerst auf Webdesign Tipps / Webdesign Blog.

Die neue Datenschutzgrundverordnung sorgt für Verunsicherung und wirft viele Fragen auf, dazu gehört auch der Einsatz von Webanalyse-Tools und Auftragsdatenverarbeitung.

Webseitenbetreiber haben ein berechtigtes Interesse daran, mehr über ihre Besucher zu erfahren. Im Rahmen der DSGVO stellt sich für viele die Frage, ob sie das Webanalyse-Tool ihrer Wahl noch rechtssicher einsetzen können und ob sie einen AV-Vertrag (Vertrag zur Auftragsverarbeitung) abschließen müssen.

Da unsere Webagentur auf vielen Kundenwebsites Webanalyse-Tools einsetzt, haben wir uns intensiv mit dieser Fragen beschäftigt und stellen das Ergebnis für folgende Analysetools vor:

» Google Analytics
» Matomo (ehemals Piwik)
» Jetpack (WordPress-Stats)
» Statify

Webanalyse-Tools: wann ist ein Vertrag zur Auftragsdatenverarbeitung erforderlich?

Im Rahmen der neuen Datenschutzgrundverordnung (DSGVO) ist dann ein AV-Vertrag zwischen Auftraggeber und Auftragnehmer erforderlich, wenn der Auftraggeber dem Auftragnehmer benutzerbezogene Daten zur Verfügung stellt bzw. zugänglich macht.

Google Analytics

Am Beispiel von Google Analytics bedeutet das: setzen Sie als Webseitenbetreiber Google Analytics ein, so binden Sie im Quellcode der Website den zugehörigen Tracking-Code ein. Dieser sorgt dafür, dass Benutzeraufrufe erfasst und auf dem Server von Google gespeichert werden. Damit erhält Google Zugriff auf die Besucherdaten – unter anderem, woher die Besucher kommen, welche Seiten sie interessieren, wie lange sie auf der Website verweilen, mit welchem Gerät (Desktop-Computer, Tablet, iPad, Smartphone, iPhone) der Besuch erfolgt, etc. Google ist es in vielen Fällen (u.a. durch das Auslesen von Cookies) sogar möglich, Rückschlüsse auf das Alter und persönliche Interessen zu ziehen.

Damit diese Informationen nicht in direkte Relation mit einem bestimmten Benutzer gesetzt werden können, muss die IP unter anderem auf deutschen Webseiten anonymisiert werden. Diese Vorgabe sollte eigentlich dafür sorgen, dass die Benutzerdaten gar nicht in Korrelation mit einer bestimmten Person gesetzt werden können. Interessanter Weise besteht aber dennoch bereits seit 2016 die Verpflichtung, einen AV-Vertrag mit Google abzuschließen.

Jetpack / WordPress-Stats

Auch Jetpack erfasst über das in diesem WordPress-Plugin integrierten WordPress-Stats Benutzerdaten und stellt diese dem Online-Vermarkter Quantcast zur Verfügung. Damit ist es bei Verwendung von Jetpack erforderlich, einen AV-Vertrag mit WordPress abzuschließen. Weniger als drei Woche vor Inkrafttreten der DSGVO bietet WordPress aber noch immer keinen AV-Vertrag an.

Matomo

Wird Matomo auf dem eigenen Webserver betrieben, so erhält Matomo (bzw. die Firma Innocraft) keinen Zugriff auf die erhobenen Analysedaten. Somit ist in diesem Fall auch kein AV-Vertrag erforderlich. Anders sieht es aus, wenn Sie das Matomo Cloud-Hosting in Anspruch nehmen. Dann werden die Besucherdaten auf dem Matomo-Server gespeichert und Sie müssen einen Vertrag zur Auftragsdatenverarbeitung abschließen. Nach derzeitigem Kenntnisstand bietet das in Neuseeland ansässige Matomo weniger als 3 Wochen vor Inkrafttreten der DSGVO noch keinen solchen AV-Vertrag an.

Statify

Statify setzt weder Cookies ein, noch wird die IP-Adresse des Besuchers gespeichert und es wird auch keinerlei Technologie von Drittanbietern genutzt. Daher wird auch kein AV-Vertrag benötigt.

Muss in der Datenschutzerklärung auf Webanalyse-Tools hingewiesen werden?

Das hängt davon ab, wie sich das jeweilige Webanalyse-Tool verhält. Google Analytics, WordPress-Stats und Matomo setzen zum Tracking der Besucher Cookies ein. Auf diesen Einsatz müssen Sie in der Datenschutzerklärung hinweisen. Somit müssen Sie dort auch das jeweilige Webanalyse-Tool nennen. Außerdem müssen Sie dem Besucher die Möglichkeit einräumen, ein Opt-Out-Cookie zu setzen. Durch das Setzen eines solchen Cookies wird verhindert, dass sein Besuch getrackt wird.

Bei Matomo ist zu unterscheiden ob das Tool auf dem eigenen Server oder im Rahmen des Matomo Cloud-Hostings betrieben wird. Wird es im Rahmen des Cloud-Hostings eingesetzt, so erhält ebenso wie bei Google Analytics und WordPress-Stats ein Drittanbieter Zugriff auf die erfassten Nutzerdaten. Daher müssen Sie den Drittanbieter nennen und darüber Auskunft erteilen, wie der Drittanbieter die erhobenen Daten nutzt.

Hinweis: wir haben diese Informationen nach bestem Wissen und Gewissen zusammengestellt. Wir sind aber keine Fachanwälte und leisten keine Rechtsberatung. Für vorstehende Informationen übernehmen wir keine Haftung oder Gewähr.

Stichworte: Webanalyse-Tools und Auftragsdatenverarbeitung

Der Beitrag Webanalyse-Tools und Auftragsdatenverarbeitung erschien zuerst auf Webdesign Tipps / Webdesign Blog.

Webseitenbetreiber haben ein berechtigtes Interesse daran, mehr über ihre Besucher zu erfahren. Müssen sie einen Matomo Vertrag zur Auftragsdatenverarbeitung abschließen?

Im Rahmen der Datenschutzgrundverordnung (DSGVO) haben wir uns mit verschiedenen Anbietern von Besucher-Analysetools beschäftig. Das Flaggschiff Google Analytics punktet beim Umfang und der Genauigkeit der Datenanalyse, patzt aber im Bereich des Datenschutzes. Das WordPress-Plugin Jetpack mit den integrierten WordPress-Stats bietet interessante Einblicke in das Besucheraufkommen, stellt allerdings weniger als drei Wochen vor Inkrafttreten der DSGVO noch immer keinen Vertrag zur Auftragsdatenverarbeitung bereit. Von einer Verwendung ist daher aktuell abzuraten. Sollten Sie Jetpack einsetzen, so ist es empfehlenswert, sich rechtzeitig nach Alternativen umzusehen. Sofern kurz von dem 25.05.2018 noch immer kein AV-Vertrag verfügbar ist, sollten Sie Jetpack deaktivieren oder gleich ganz löschen.

Vorbildlich in Bezug auf die Datensparsamkeit und den Datenschutz hingegen zeigt sich das WordPress-Plugin Statify. Es bietet zwar bei weitem nicht den Funktionsumfang von Google Analytics. Dieser ist für viele Webseitenbetreiber aber sowieso überambitioniert und die Einarbeitung in die vielen Analysemöglichkeiten oft abschreckend.

Das Analysetool Piwik heißt jetzt Matomo und bietet wohl den gelungensten Kompromiss zwischen Usability und Analysedaten auf der einen sowie Datenschutzaspekte auf der anderen Seite.

Funktionsumfang von Matomo

Ohne an dieser Stelle in Detail auf den Funktionsumfang von Matomo einzugehen möchten wir kurz die wichtigsten Vorteile herausstellen:

1. Der Funktionsumfang von Matomo ist ausgezeichnet. Er reicht zwar bezüglich der Analysemöglichkeiten nicht ganz an den von Google Analytics heran, übertrifft aber den von Jetpack oder Statify. Matomo ist für alle jene die erste Wahl, die detaillierte Informationen über die Besucher benötigen, die Benutzerdaten aber nicht an Google übermitteln möchten.
2. Die Matomo-Benutzeroberfläche ist sehr einfach und intuitiv bedienbar.
3. Einige Grundkenntnisse vorausgesetzt lässt sich Matomo schnell und einfach auf dem eigenen Webserver aufsetzen. Dies bietet insbesondere große Vorteile beim Datenschutz da die Daten nicht (wie bei Jetpack oder Google Analytics) an Dritte weitergegeben werden.
4. Während Analysetool wie Jetpack oder Statify für WordPress entwickelt wurden und somit CMS-abhängig sind, wird Matomo eigenständig betrieben. Es ist Mittels des Plugins WP-Matomo sogar möglich, die statistische Auswertung direkt in WordPress ausgeben zu lassen.
5. Die IP-Adresse der Besucher lässt sich in den Einstellungen per Klick anonymisieren.
6. Matomo ist kostenlos – auch wenn sich die Entwickler über eine Spende freuen und Spenden dazu beitragen, das Projekt am Leben zu halten.

Benötige ich einen Matomo Vertrag zur Auftragsdatenverarbeitung?

Dies ist davon abhängig, wo die Daten erfasst und gespeichert werden. Installieren Sie Matomo auf Ihrem eigenen Webserver, so erhält Matomo keinen Zugriff auf die erfassten Analysedaten. Daher müssen Sie auch keinen Matomo Vertrag zur Auftragsdatenverarbeitung abschließen.

Für alle, die den Installationsaufwand sowie den Aufwand für die regelmäßige Aktualisierung von Matomo scheuen bietet Matomo ein Cloud-Hosting an. Die Preise für das Cloud-Hosting beginnen aktuell bei 7,50 Euro pro Monat bei jährlicher Zahlung bzw. 9,00 Euro pro Monat bei monatlicher Zahlung. Dafür sind bis zu 50.000 Seitenanzeigen pro Monat möglich und Sie können bis zu 5 Webseiten einrichten. Die Paketpreise steigen mit zunehmenden Seitenanzeigen bzw. zusätzlichen Websites.

Wird Matomo im Rahmen eines Cloud-Hostings betrieben, so befinden sich die Analysedaten (und Nutzerdaten!) auf den Matomo-Servern. Somit müssen Sie in diesem Fall auch einen Matomo Vertrag zur Auftragsdatenverarbeitung abschließen.

Gibt es einen Matomo Vertrag zur Auftragsdatenverarbeitung?

Als Firmensitz gibt Innocraft (der Anbieter von Matomo) Neuseeland an. Nach unserem Kenntnisstand bietet Matomo keinen AV-Vertrag an – wir konnten diesbezüglich weder Informationen auf der Website finden noch führte unsere Recherche zum Erfolg. Wir haben daher auf der deutschsprachigen Matomo-Website auf Deutsch angefragt, ob ein AV-Vertrag für das Cloudhosting angeboten wird. Die Antwort erfolgte auf Englisch – man hatte unsere Anfrage wohl nicht verstanden, sicherheitshalber aber nachgefragt, ob wir Matomo Cloud-Hosting-Kunde wären. Nach unserem Verweis auf diesen Blog-Beitrag (nunmehr auf Englisch) teilte man uns am 07.05.2018 mit:

Our DPA is not yet public. However it will be soon public.
in the meantime, please find attached our DRAFT agreement for your internal consideration.
[…]
Before May 25th, it will be possible to agree to these terms directly in the Matomo UI. Alternatively, it will be possible to execute the agreement via e-signature.

Rund zwei Wochen vor Inkrafttreten der DSGVO bietet Matomo also noch keinen AV-Vertrag an. Einen deutschsprachigen Support scheint es nicht zu geben. Gerne können sich Matomo Cloud-Hosting-Kunden hier im Blog melden und ihre Erfahrung teilen, ob der AV-Vertrag tatsächlich bis zum 25.05.2018 im Benutzeraccount bereitgestellt wird und ob er auch in deutscher Sprache erhältlich ist.

Hinweis: wir haben diese Informationen nach bestem Wissen und Gewissen zusammengestellt. Wir sind aber keine Fachanwälte und leisten keine Rechtsberatung. Für vorstehende Informationen übernehmen wir keine Haftung oder Gewähr.

Stichworte: Matomo Vertrag zur Auftragsdatenverarbeitung, Datenschutzgrundverordnung

Der Beitrag Matomo Vertrag zur Auftragsdatenverarbeitung abschließen erschien zuerst auf Webdesign Tipps / Webdesign Blog.

Eigentlich ist es ein alter Hut: bereits das Bundesdatenschutzgesetz macht gemäß § 11 BDSG einen Google Analytics Vertrag zur Auftragsdatenverarbeitung erforderlich, wenn dieses Google-Tool auf der eigenen Website eingesetzt wird.

Erstaunlich viele Webseitenbetreiber, die Google Analytics einsetzen, haben jedoch von dieser Erfordernis noch nie etwas gehört. Dabei stellt Google bereits seit 2016 einen AV-Vertrag zur Verfügung.

Dieser Vertrag besteht inklusive der einleitenden Informationsseite aus insgesamt 18 Seiten. Um ihn mit Google abzuschließen muss ein Webseitenbetreiber den Vertrag in doppelter Ausfertigung ausdrucken, ausfüllen und auf dem Postweg an Google Irland Ltd. in Dublin schicken. Nach einigen Wochen erfolgt dann die Rücksendung eines von Google unterschriebenen Vertragsexemplars.

Google Analytics Vertrag zur Auftragsdatenverarbeitung: was ändert sich mit der neuen Datenschutzgrundverordnung?

Im Rahmen der Datenschutzgrundverordnung entfällt das Schriftform-Erfordernis. DSGVO-konforme AV-Verträge können auch digital abgeschlossen werden, sofern auf diesem Wege eine ausreichende Dokumentation sichergestellt ist.

Wenn Sie einen Google Analytics Vertrag zur Auftragsdatenverarbeitung abschließen möchten, melden Sie sich in Ihrem Google Analytics-Account an und bestätigen Sie dort per Setzen des entsprechenden Häkchens und Absenden des Formulars den Google Analytics Vertrag zur Auftragsdatenverarbeitung (bzw. ab Inkrafttreten der DSGVO nur noch „Auftragsverarbeitung“).

Beachten Sie dabei: sollten Sie bisher keinen Google Analytics Vertrag zur Auftragsdatenverarbeitung abgeschlossen haben, so wurden die statistischen Daten der Benutzer widerrechtlich erhoben. Sie sollten daher die alten UA-Konten löschen, neue Konten erstellen und die UA-Trackingcodes der neuen Konten in die betreffenden Webseiten einbauen.

Google Analytics im Rahmen der Datenschutzgrundverordnung rechtssicher einsetzen

Die Anforderungen für einen rechtssicheren Einsatz von Google Analytics ändert sich mit der Datenschutzgrundverordnung nicht. Wie bisher gilt:

• AV-Vertrag
  Da durch Google Analytics eine Datenverarbeitung durch einen Dritten (in diesem Fall Google) erfolgt, müssen Webseitenbetreiber einen Vertrag zur Auftragsdatenverarbeitung abschließen.
• IP-Anonymisierung
  Der Standard Google Analytics-Code ist so zu modifizieren, dass die IP-Adresse der Besucher anonymisiert wird. Dazu muss lediglich eine zusätzliche Zeile Javascript hinzugefügt werden:
  push([‚_gat._anonymizelp‘]);
• Datenschutzerklärung
  In der Datenschutzerklärung müssen Sie auf die Verwendung von Google Analytics hinweisen und beschreiben, welche Arten von Daten erfasst werden.
• Opt-Out-Cookie
  Sie müssen dem Besucher die Möglichkeit geben, das Tracking durch Google zu unterbinden. Dies geschieht durch ein so genanntes Opt-Out-Cookie. Dabei wird im Browser des Benutzers ein Cookie gesetzt, welches das Tracking verhindert.

Was spricht für den Einsatz von Google Analytics, was spricht dagegen?

Die neue Datenschutzgrundverordnung hat viele Seiten. Gute und weniger schöne. Für Webseitenbetreiber aber auch generell für Unternehmen ergeben sich durch die Datenschutzgrundverordnung viele – teilweise umfangreiche und aufwendige – Änderungen.

Zugleich trägt die DSGVO zu einer weiteren Sensibilisierung der Menschen in Bezug auf ihre persönlichen Daten bei. Google Analytics ist eine tolle Software. So wie viele andere von Google entwickelte Tools auch. Es gibt derzeit wohl kaum eine Analyse-Software, mit der sich das Besucherverhalten im Web so detailliert analysieren und auswerten lässt wie mit Google Analytics. Andere Unternehmen verlangen für solche Softwarelösungen eine angemessene Vergütung. Und das zu Recht. Denn für die Entwicklung haben hervorragende Softwareentwickler viel Zeit investiert und solche Spezialisten arbeiten selbstverständlich nicht umsonst – auch nicht bei Google.

Google verfolgt allerdings ein anderes Geschäftsmodell: Tools wie Google Analytics werden vollkommen kostenlos angeboten. „Kostenlos“ bedeutet allerdings nicht „umsonst“. Die Webseitenbetreiber und ihre Besucher bezahlen sie, indem sie Google umfangreiche Daten zur Verfügung stellen die Google wiederum verknüpft und immer mehr Informationen über die Benutzer und Unternehmen zusammenträgt.

Google ist das Flaggschiff unter den Web-Analysetools. Aber um welchen Preis? Hier sollte sich jeder Webseitenbetreiber und jede Webagentur fragen, ob die umfangreichen Auswertungsmöglichkeiten tatsächlich benötigt werden oder ob nicht auch weniger datengierige Tools ausreichen. Beispielsweise Statify für WordPress oder das hervorragende Matomo (ehemals Piwik).

Wie ernst nimmt Google den Datenschutz?

Es taucht immer wieder die Frage auf, wie ernst Branchenriesen wie Google oder Facebook den Datenschutz tatsächlich nehmen. Google lässt sich hier ungern in die Karten schauen. Gerichtsurteile aus der Vergangenheit zeigen jedoch, dass das Thema „Datenschutz“ offenbar nicht immer oberste Priorität genießt. Schließlich „lebt“ Google von den persönlichen Daten der Benutzer.

Im Jahre 2012 hat Google mit einer Strafzahlung in Höhe von 22,5 Millionen Dollar eine Klage der US-Aufsichtsbehörde verhindert. Zur Klage kam es, weil Google gegen seine eigenen Zusagen zum Schutz der Privatsphäre verstoßen hat.

Im Jahre 2013 musste Google 145.000 Euro Bußgeld zahlen, weil im Zuge der Erhebung von Daten für den Google-Dienst „Street-View“ auch zur Aufzeichnung von Daten von WLAN-Netzen sowie von Inhaltsdaten (u.a. E-Mails, Passwörter, Fotos und Chat-Protokolle) gekommen ist.

Im Juni 2017 kam es zu einer Rekord-Kartellstrafe in Höhe von 2,42 Milliarden Euro, weil Google seine Marktmacht als Suchmaschinenbetreiber missbraucht hat, um Millionen Nutzer auf die Preisvergleichsplattform Google Shopping zu lenken.

Wie passt das zum Google-Motto „Don’t be evil“? (Sei nicht böse). Vielleicht gar nicht. Denn mit Gründung der Muttergesellschaft Alphabet wurde das Motto im Jahre 2015 geändert in „Do the Right Thing“ (Tu das Richtige).

Nun bleibt nur noch eine Frage zu beantworten:
Das Richtige für wen?

Hinweis: wir haben diese Informationen nach bestem Wissen und Gewissen zusammengestellt. Wir sind aber keine Fachanwälte und leisten keine Rechtsberatung. Für vorstehende Informationen übernehmen wir keine Haftung oder Gewähr.

Stichworte: Google Analytics Vertrag zur Auftragsdatenverarbeitung, Datenschutzgrundverordnung

Der Beitrag Datenschutzgrundverordnung: Google Analytics Vertrag zur Auftragsdatenverarbeitung abschließen erschien zuerst auf Webdesign Tipps / Webdesign Blog.

Statify und Datenschutzgrundverordnung: Statify ist ein praktisches WordPress-Plugin mit dem Sie Informationen über Ihre Besucher beziehen können. Doch was ist im Kontext zwischen Statify und Datenschutzgrundverordung zu beachten?

Statify bietet weniger Informationen über die Besucher als beispielsweise Jetpack, (bzw. das in Jetpack enthaltene WordPress-Stats) welches sich ebenfalls in WordPress integrieren lässt. Während Jetpack aus datenschutzrechtlichen Gründen jedoch bedenklich ist, glänzt Statify mit Datensparsamkeit. Per Standard löscht Statify die statistischen Daten bereits nach zwei Wochen mittels Cron-Job. Über das Dashboard lassen sich auch längere Zeiträume einstellen.

Statify macht genau das, was es soll – nicht mehr, aber auch nicht weniger. Statt Daten an Dritte zu übermitteln (die diese zu Vermarktungszwecken nutzen können) werden lediglich

• die Besucher gezählt
• erfasst, wo die Besucher herkommen
• und es wird angezeigt, welche Inhaltsseiten wie oft aufgerufen werden.

Statify und Datenschutzgrundverordnung

Werden Benutzerdaten erfasst, so fordert die Datenschutzgrundverordnung (DSGVO) einen Vertrag zwischen Auftraggeber und Auftragnehmer, welcher klar regelt, was mit den Benutzerdaten passiert beziehungsweise wie diese von wem genutzt werden.

Da Statify weder Cookies einsetzt noch die IP-Adresse der Besucher speichert und auch keinerlei Technologie von Drittanbietern nutzt, lassen sich die erfassten statistischen Daten nicht in Beziehung zu bestimmten Besuchern setzen. Die Datenerfassung erfolgt vollkommen anonym.

Statify und Auftragsdatenverarbeitung

Dadurch sparen sich Webseitenbetreiber bzw. die von ihnen beauftragten Webagenturen bei Statify den Aufwand, Verträge zur Auftragsdatenverarbeitung abschließen zu müssen. Nicht einmal die Datenschutzerklärung ist anzupassen bzw. zu ergänzen. Aktuell gibt es kein Besucher-Analysetool für WordPress, dessen Inbetriebnahme mit weniger Aufwand verbunden ist.

Nachteile von Statify

So sehr Statify in Bezug auf den Datenschutz glänzt, ist es kein vollwertiger Ersatz für professionellere Analyse-Tools wie Google Analytics oder Matomo / Piwik.

Hier stellt sich für den Webseitenbetreiber oder dessen Webagentur die Frage, wie umfangreich die Auswertung der Besucher überhaupt ausfallen muss. Denn insbesondere bei Webseiten kleinerer Unternehmen ist es meist vollkommen ausreichend zu ermitteln, wie viele Besucher die Website hat, wo die Besucher herkommen und welche Inhaltsseiten besonders häufig aufgerufen werden.

Hinweis: wir haben diese Informationen nach bestem Wissen und Gewissen zusammengestellt. Wir sind aber keine Fachanwälte und leisten keine Rechtsberatung. Für vorstehende Informationen übernehmen wir keine Haftung oder Gewähr.

Stichworte: Statify und Datenschutzgrundverordnung, Statify DSGVO, Statify Auftragsdatenverarbeitung

Der Beitrag Statify Datenschutzgrundverordnung, Statify Auftragsdatenverarbeitung erschien zuerst auf Webdesign Tipps / Webdesign Blog.

Jetpack und Datenschutzgrundverordnung: Jetpack ist ein praktisches WordPress-Plugin mit vielen interessanten Features. Doch was ist im Kontext zwischen Jetpack und Datenschutzgrundverordung zu beachten?

So komfortabel und einfach Jetpack auf den ersten Blick erscheint: das Plugin hat seine Tücken. Nach der Installation und Aktivierung müssen Sie lediglich noch die Website bei WordPress anmelden und schon werden Ihnen im Redakteurbereich schick aufbereitetet statistische Daten bereitgestellt.

Werden keine möglichst detaillierten Analysen benötigen, so stellt Jetpack auf den ersten Blick eine interessante Alternative zu Analysetools wie Google Analytics oder Matomo / Piwik dar.

Auf den zweiten Blick offenbart sich allerdings, dass die Besucheranalyse mit Jetpack ihre dunklen Seiten hat und es Gründe dafür gibt, besser die Finger von Jetpack zu lassen. Was konkret spricht gegen die Nutzung von Jetpack?:

1. Jetpack und Datenschutzgrundverordnung: Einen Vertrag zur Auftragsdatenverarbeitung mit WordPress abschließen

Die Datenschutzgrundverordnung fordert, dass bei der Verarbeitung benutzerbezogener Daten ein Vertrag zwischen Auftraggeber und Auftragnehmer abgeschlossen wird. Ein solcher Vertrag hieß bisher „Auftragsdatenverarbeitungs-Vertrag“ bzw. kurz AV-Vertrag. Im Zuge der DSGVO ändert sich der Begriff zu „Auftragsdaten-Vertrag“.

Das Problem: WordPress bietet offenbar bis heute keinen solchen Vertrag an. Die Problematik Jetpack und Datenschutzgrundverordnung wird auch im WordPress eigenen Forum diskutiert.

2. Vermarktung der Analysedaten

Während andere Unternehmen wie Google oder Facebook längst reagiert haben und AV-Verträge anbieten, tut das WordPress bisher nicht. Nun könnte man argumentieren, dass WordPress seinen Firmensitz in den USA hat und dort eine wesentlich geringere Sensibilität in Bezug auf persönliche Daten vorhanden ist. Nur: Google und Facebook sitzen gleich nebenan und den Branchenriesen ist sehr wohl bewusst, dass sie europäische „Spielregeln“ einhalten müssen, wenn sie ihre Dienstleistungen in Europa anbieten.

Bei Jetpack stellt sich das Problem, dass die generierten Analysedaten durch die Firma Quantcast vermarktet werden. Daher müssen Webseitenbetreiber bei der Verwendung von Jetpack schon seit längerer Zeit in ihrer Datenschutzerklärung darauf hinweisen. Dies geschieht üblicher Weise unter dem Punkt Datenschutzerklärung bezüglich Nutzung von WordPress Stats. Bereits 2011 hat der Rechtsanwalt Dr. Schwenke darauf hingewiesen, dass das WordPress.com-Stats-Plugin als Trojaner für Werbetracker fungiert. Denn Quantcast erstellte mit Hilfe von Cookies Nutzerprofile. Eine Funktionalität, welcher der Nutzer nicht widersprechen konnte – beispielsweise durch das Setzen eines Opt-Out-Cookies. Nach heftiger Kritik an dieser Vorgehensweise hat Quantcast zugesagt, die Benutzer-IPs künftig zu anonymisieren und einen Link für das Setzen eine Opt-Out-Cookies bereitgestellt.

Doch damit nicht genug: ergänzend setzt WordPress zum Tracken der Benutzer ein Comscore-Beacon ein. Wer eine rechtssichere Datenschutzerklärung bereitstellen möchte, muss die Besucher also umfangreich aufklären.

Unabhängig von den Vorschriften der DSGVO sollten sich Webseitenbetreiber und Webagenturen grundsätzlich fragen, ob die Nutzung des in Jetpack integrierte Statistik-Tools eine gute Idee ist und das nicht nur im Hinblick auf Jetpack und Datenschutzgrundverordnung. Es bleibt trotz Zugeständnisse von Seiten WordPress‘ und Quantcast in Bezug auf den Datenschutz ein fader Beigeschmack.

Tracking mit DoNotTrack verhindern

Lange Zeit konnten sich Nutzer mit dem Plugin DoNotTrack von Frank Goossens behelfen. Damit ließ sich wohl auch der Konflikt zwischen Jetpack und Datenschutzgrundverordnung lösen. Denn mit DoNotTrack wird der Quantcast-Code unterdrückt und die Erstellung von Nutzerprofilen verhindert. Somit ersparte sich der Webseitenbetreiber sogar entsprechende datenschutzrechtliche Hinweise in der Datenschutzerklärung. Leider wurde DoNotTrack zuletzt vor 2 Jahren aktualisiert und ist nur bis WordPress in Version 4.6.11 getestet.

3. Kein Recht auf Vergessenwerden

Haben Sie schon einmal Domains in Ihrem WordPress-Account hinterlegt?

Beispielsweise um darüber die Anmeldung bei verschiedenen WordPress-Installationen zu managen? Oder Mittels Jetpack Informationen über die Besucher zu beziehen? Dann kennen Sie vermutlich das Problem: das Anmelden neuer Domains ist kein Problem, sie anschließend zu löschen hingegen unmöglich. Das erinnert an das Gebare des frühen Google-Mails (GMail) wo keine Löschfunktion integriert war. Was Google geschmeidig damit begründet hat, dass die Benutzer so viel kostenlosen Speicherplatz erhielten, dass eine Löschfunktion überflüssig sei.

Das „Recht auf Vergessenwerden“ ist nun allerdings auch in der DSGVO verankert. Daher besteht von Seiten WordPress dringender Handlungsbedarf – zumindest im Hinblick auf in der EU ansässige Nutzer.

Fazit: solange WordPress keinen Vertrag zur Auftragsdatenverarbeitung bereitstellt sollte auf den Einsatz von Jetpack unbedingt verzichtet werden. Webseitenbetreiber sind gut beraten, Jetpack zu deaktivieren oder direkt zu löschen.

Alternativen zu Jetpack

Statify

Im Bereich der WordPress-Plugin-Lösungen bietet sich Statify an. Dieses Plugin setzt weder Cookies ein, noch speichert es die IP-Adresse des Besucher und nutzt auch keine Technologien von Drittanbietern.

» Mehr über Statify erfahren

Statify macht genau das, was es soll. Statt Daten an Dritte zu übermitteln (die diese zu Vermarktungszwecken nutzen können) werden lediglich

• die Besucher gezählt
• erfasst, wo die Besucher herkommen
• und es wird angezeigt, welche Inhaltsseiten wie oft aufgerufen werden.

In Bezug auf den Funktionsumfang kann Statify nicht mit Google Analytics oder Matomo mithalten. Vielen Webseitenbetreibern und Agenturen reichen die vorgenannten Informationen aber vollkommen aus. Insbesondere fehlt vielen Webseitenbetreibern die Zeit und Motivation, sich in die umfangreichen Features von Google Analytics einzuarbeiten.

Google Analytics

Wer detaillierte Analyse über seine Besucher benötigt, kommt um Google Analytics kaum noch herum. Doch zu welchem Preis? Alle Informationen werden auf den Google-Servern gespeichert, ausgewertet und miteinander verknüpft. Die Entwicklung komplexer Software wie Google Analytics hat ihren Preis. Exzellente Entwickler haben lange an deren Realisation gearbeitet. Dennoch werden solche Tools kostenlos angeboten. Das sollte zu denken geben. „Kostenlos“ bedeutet nicht „umsonst.“ Sie bezahlen nicht in US-Dollar oder Euro, sondern indem Sie die Daten Google bereitstellen.

Immerhin: im Gegensatz zu WordPress bietet Google schon seit einigen Monaten einen Vertrag zur Auftragsdatenverarbeitung an, den Sie digital (per Checkbox und Absendebutton) betätigen können. Diese Möglichkeit wird von der DSGVO explizit erlaubt. Bisher erforderte das Bundesdatenschutzgesetz noch schriftliche Verträge mit Unterschrift beider Vertragspartner. Dazu musste ein 18-seitiger Vertrag zur Auftragsdatenverarbeitung mit Google ausgedruckt und nach Irland geschickt werden

Matomo / Piwik

Matomo (ehemals Piwik) schafft den Spagat zwischen Besucheranalyse und Datenschutz. Zwar sind die statistischen Daten weniger umfangreich als bei Google Analytics. Aber wesentlich detaillierter als beispielsweise bei Statify. Zudem lässt sich die statistische Ausgabe der Benutzerdaten in WordPress integrieren und so komfortabel vom Webseitenbetreiber einsehen. Hier erfahren Sie mehr über Matomo / Piwik.

Hinweis: wir haben diese Informationen nach bestem Wissen und Gewissen zusammengestellt. Wir sind aber keine Fachanwälte und leisten keine Rechtsberatung. Für vorstehende Informationen übernehmen wir keine Haftung oder Gewähr.

Stichworte: Jetpack und Datenschutzgrundverordnung, Jetpack DSGVO, Jetpack Auftragsdatenverarbeitung

Der Beitrag Jetpack und Datenschutzgrundverordnung. Jetpack und Auftragsdatenverarbeitung. erschien zuerst auf Webdesign Tipps / Webdesign Blog.

Eigentlich ist es ganz einfach: kein Newsletterversand ohne ausdrückliches – am besten schriftliches – Einverständnis des Empfängers. Leider halten sich viele Newsletter-Versender nicht an diese Regel.

Damit ist nicht einmal der offensichtliche SPAM-Versand gemeint deren Absender sich gut gegen Rückverfolgung absichern. Viele Firmen oder deren PR-Agenturen „recherchieren“ E-Mail-Adressen aus dem Impressum themenaffiner Unternehmen und senden ihnen unaufgefordert und meist unerwünscht Newsletter.

Dabei ist es doch gar nicht so schwer, sich die „goldene Regel“ zu merken: Newsletter, Produktinformationen oder Werbung dürfen nach aktueller deutscher Rechtslage nicht einfach so verschickt werden. Dazu ist das Einverständnis des Empfängers vonnöten. Das Einverständnis kann auch auf digitalem Wege erfolgen. Insbesondere akzeptieren Gerichte in der Regel, wenn das Einverständnis über das Double-Opt-In-Verfahren erteilt wurde.

Zwar gibt es Ausnahmen zu dieser goldenen Regel. Aber auf das explizite Einverständnis des E-Mail-Empfängers kann nur in schwer verständlichen Sonderfällen verzichtet werden. Das geltende Recht erlaubt die Werbeansprache in bestimmten Fällen gemäß § 28 III BDSG (= Bundesdatenschutzgesetz). Allerdings ist die dort festgehaltene Regelung komplex und schwer zu verstehen. So beziehen sich die als Ausnahme genannten „Listendaten“ nicht auf E-Mail-Adressen sondern auf Postadressen.

28 III 3 BDSG besagt jedoch:

Für Zwecke nach Satz 2 Nummer 1 darf die verantwortliche Stelle zu den dort genannten Daten weitere Daten hinzuspeichern.

Als solche „hinzugespeicherte Daten“ können durchaus auch E-Mail-Adressen angesehen werden, sofern sie im Zusammenhang mit dem Verkauf einer Ware oder einer Dienstleistung vom Betroffenen erlangt wurden (§ 7 UWG).

Haben Sie beispielsweise eine Ware in einem Online-Shop erworben, so kann der Online-Shop-Betreiber Ihnen im Anschluss auch Informationsmails zu weiteren Produkten zusenden, sofern er Sie bei der Erhebung der Adresse auf Ihr Widerspruchsrecht hingewiesen hat und Sie nicht ausdrücklich widersprochen haben.

Änderungen im Rahmen des neuen EU-Rechts

Mit der am 25.03.2018 in Kraft tretenden Datenschutzgrundverordnung (DSGVO) ergeben sich Änderungen. Ist ab diesem Zeitpunkt der Newsletterversand ohne Einwilligung erlaubt?

Die DSGVO enthält keine so komplizierten Regelungen wie das Bundesdatenschutzgesetz.

Art. 6 I 1 f DSGVO besagt:

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: […]

die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Sie erlaubt gemäß Erwägungsgrund 47 Werbung im Rahmen einer entsprechenden Interessensabwägung:

„Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“

Die neuen Regelungen der DSGVO bedingen somit auch neue Antworten auf die Frage ob der Newsletterversand ohne Einwilligung erlaubt ist:

Verwendet ein Unternehmen die Daten bzw. die E-Mail-Adresse eines Kunden, so ist es weiterhin „auf der sicheren Seite“, wenn von Kundenseite eine explizite Zustimmung vorliegt. Darüber hinaus kann sich das Unternehmen aber künftig auch darauf berufen, das ein berechtigtes Interesse an dem Newsletterversand oder dem Versand einer Informations- oder Werbemail besteht.

Wann ein Interesse allerdings „berechtigt“ ist und tatsächlich und nicht nur spekulativ besteht, wird in Zukunft sicherlich die Gerichte beschäftigen. Dass der Versand von Newslettern und Werbemails im Rahmen der DSGVO künftig erleichtert wird, sollte Unternehmen nicht dazu verleiten, ihre Kunden mit E-Mails zu „bombardieren.“ Denn dies könnte einerseits den Interessen des Kunden entgegenlaufen und andererseits dazu führen, dass der Kunde sich aus dem Mailverteiler abmeldet.

Daher sollten Mailversender auch nach Inkrafttreten der Datenschutzgrundverordnung die Verhältnismäßigkeit im Blick behalten und Newsletter / Werbemails nur in größeren zeitlichen Abständen versenden.

Stichworte: Newsletterversand ohne Einwilligung erlaubt

Der Beitrag Ist der Newsletterversand ohne Einwilligung erlaubt? erschien zuerst auf Webdesign Tipps / Webdesign Blog.