Mit 1,65 Milliarden Euro Umsatz ist Online-Werbung nunmehr das viertgrösste Werbemedium, die weiteren Prognosen sehen vielversprechend aus, auch zunächst skeptische, konservative Mediabudget - Verantwortliche sind zunehmend bereit, die Anteile zu Lasten klassischer Werbeträger wie TV, Radio, Plakat und Fachzeit-schriften umzuschichten.

So weit so gut für die Branche der Onlinevermarkter, die bereits laut über Fachkräftemangel klagen.

Weniger erfreulich ist dagegen, dass im Zuge dieser positiven Entwicklung einige „schwarze Schafe“ ihr wachsendes Geschäft offensichtlich auf rechtswidrigen Praktiken basieren und sich damit gegenüber ihren Wettbewerbern unlautere Wettbewerbsvorteile verschaffen. Im Fachjargon der Juristen wird dies als „Vorsprung durch Rechtsbruch“ (§ 4 Nr. 11 UWG) betitelt und bezeichnet ganz allgemein ein Verhalten eines Unternehmens, das „einer gesetzlichen Vorschrift zuwiderhandelt, die auch dazu bestimmt ist, im Interesse der Markteilnehmer das Marktverhalten zu regeln.

Nun muss nicht jede Wettbewerbshandlung, die auf einem gesetzlichen Verstoss beruht, gleichzeitig sittenwidrig im Sinne des Gesetzes zur Bekämpfung des unlauteren Wettbewerbs sein. Die Rechtsprechung fordert vielmehr, dass die aus einer Gesetzesverletzung gezogenen Vorteile zur Förderung eigenen oder fremden Wettbewerbs eingesetzt werden.Damit stellt sich die Frage, ob denn zum einen das Datenschutzrecht überhaupt das Marktverhalten regelt, da es zum Ziel hat, den Einzelnen vor der unbefugten Gewinnung und Verwendung seiner personenbezogenen Daten zu schützen, also ob denn diese gesetzlichen Regelungen überhaupt irgendeinen Marktbezug besitzen. Diese Auffassung in der rechtlichen Fachdiskussion, die den Marktbezug des Datenschutzrechts bestreitet, übersieht jedoch den zunehmenden Stellenwert personenbezogener Daten im Bereich des E-Commerce und der Onlinevermarktung. Hier sprechen die vorstehend dargestellten Wachstumszahlen in der Onlinevermarktung und der kommerzielle Wert, den aussagekräftige personenbezogene Profile heute für Vermarkter und den Adresshandel besitzen eine deutliche Sprache und lassen diese Bewertung, die dem Datenschutzrecht den Marktbezug absprechen will als nachgerade naiv erscheinen.

Zum Repertoire im Bereich der Onlinevermarktung gehören heute im Wesentlichen Werbeformen wie z. B. die Bannerwerbung in ihren diversen Ausprägungen Skyscraper, Content Ads sowie diverse Sonderformen.

Am Beispiel des Targeting soll nachfolgend beleuchtet werden, welchen datenschutzrechtlichen Grenzen diese Praxis unterfällt.

Nach gängiger Auffassung unter Onlinemarketing Verantwortlichen wird unter Targeting das Verwenden von Werbebannern bei Onlinewerbeträgern anhand von Nutzerprofilen verstanden.

Diese Nutzerprofile entstehen dadurch, dass die sog. HTTP-Referer, also Einträge in Logfiles, die die Adressen der besuchten Websites festhalten, von denen der Besucher auf die Seite des Anbieters gekommen ist, ausgewertet werden. Handelt es sich bei dem zuletzt genutzten Angebot um eine Suchmaschine, enthält der „Referer-Eintrag auch die vom Nutzer verwendeten Suchbegriffe.

Daneben dienen Cookies ebenfalls der Erstellung von Nutzerprofilen. Dabei soll hier im Folgenden nicht von den durch den Erstanbieter verwendeten Cookies die Rede sein, sondern von der Frage nach der Zulässigkeit des Setzens von dauerhaften Cookies durch sog. Drittanbieter (3rd party cookies), also den für die Online- Vermarktung interessanten Daten.

Die von Werbenetzwerken eingesetzten „Ads“ werden auf vielen verschiedenen Hosts platziert. Ein Werbeträger, der nun in diesem Netzwerk für die Teilnahme an einem Preisausschreiben oder die Nutzung seines Online-Angebotes vom Nutzer die Angabe der Adresse, des Namens oder anderer identifizierender Merkmale verlangt, kann nun auch diese personenbezogenen Angaben in dem Cookie speichern.

So passiert es dann häufig, dass Nutzerprofile unzulässigerweise mit den Daten über den Träger eines Pseudonyms zusammengeführt werden.

Ob der Onlinevermarkter bzw. dessen Muttergesellschaft dabei seinen Sitz ausserhalb des deutschen Hoheitsgebietes hat spielt für die Anwendbarkeit des deutschen Datenschutzrechts keine Rolle, solange sich der Nutzer zum Zeitpunkt der Nutzung örtlich in Deutschland aufhält.

In der Diskussion um die Zulässigkeit einzelner Praktiken im Bereich der Online-Werbung unterliegen viele Marketing- und Mediabudget – Verantwortliche im Zusammenhang mit datenschutzrechtlichen Fragen immer wieder weit verbreiteten Irrtümern.

So glauben manche, nur bei dem Namen und der Adresse einzelner Nutzer im Klartext handele es sich um personenbezogene Daten im Sinne datenschutzrechtlich relevanter Bestimmungen. Dabei ist die Aussage des europäischen und deutschen Gesetzgebers eindeutig: Personenbezogene Daten sind alle Informationen über eine bestimmte oder bestimmbare Person. Die indirekte Identifizierungsmöglichkeit und Verknüpfung verschiedener Kriterien ist dabei ausreichend. Auch anonymisierte Daten können personenbezogene Daten im Sinne des Gesetzes bleiben.

Die Erhebung von Daten durch sog. Drittanbietercookies lässt häufig wesentlicheVoraussetzungen für eine rechtmässige Datenerhebung im Bereich des Onlinemarketing vermissen. Hierzu zählen jedenfalls eine vorherige ordnungs-gemässe Unterrichtung des Nutzers hinsichtlich seines Widerspruchsrechts gegenüber dem Vermarkter, des Einsatzes automatisierter Verfahren. Die Unterrichtung innerhalb der vielfältigen Information wie sie viele Online-AGB von Unternehmen enthalten genügt jedenfalls nicht den Anforderungen.

Falls ein Verstoss gegen das Zusammenführungsverbot von Daten durch einen Wettbewerber festgestellt und gerügt wird, könnte dies unangenehme Auswirkungen für den Kursverlauf derjenigen Unternehmen zeitigen, die börsennotiert sind und ihr Geschäftsmodell auf derartige rechtswidrige Praktiken stützen.

Verbreitete Unsitte auch bei grösseren Unternehmen im Bereich der Internetvermarktung ist es häufig, die Einwilligung in einem Wust aus anderen Erklärungen zu integrieren und so zu verstecken anstatt sie, wie es das Gesetz fordert, besonders hervorzuheben.

Untersucht man die Praxis des Online – Targeting näher, stösst man auf nicht funktionsfähige opt-out Links, nicht vorhandene Privacy Policies oder Unternehmen, die die opt-out Daten ausserhalb des Geltungsbereichs der Europäischen Union erheben, ohne den optierenden Nutzter über diese Datenübermittlung überhaupt oder nur unzureichend aufzuklären.

Hinzukommen gravierende Verstösse gegen die Anforderungen in Hinblick auf den Inhalt und den Umfang der einzuholenden Nutzereinwilligung.

Denn eine informierte Einwilligung der Internet-Nutzer setzt voraus, dass die Browsermitteilung eine ausreichende Aufklärung über den Zweck der Cookie- Speicherung enthält und eine Unterrichtung über das jederzeitige Widerrufsrecht der Einwilligung.

Rechtliche Bedenken ergeben sich auch immer wieder bei der Ausgestaltung der Einwilligungserklärung (meist sind diese nicht jederzeit elektronisch abrufbar, z. B. ist eine fingierte Einwilligungserklärung in AGB nicht zulässig).

Hier gibt es seitens der entsprechenden Markteilnehmer auf Unternehmensseite noch sehr viel zu tun, um gegenüber dem Internet-Verbraucher Glaubwürdigkeit zu beweisen. Denn zusammen mit wachsender Sensibilität der Nutzer und mit der Verfügbarkeit entsprechender Analysetechnologien nehmen auch diie Ahndungsmöglichkeiten gegenüber entsprechenden Verstössen zu.

* Rechtsanwalt Dr. Christian Oliver Dressel ist Partner der Kanzlei digital anwalt.de und berät IT- und Medienunternehmen im IT- und Medienrecht. Zu seinen Spezialthemen gehören unter anderem Datenschutz-, Wettbewerbs- und Urheberrecht. Er hat langjährige internationale Erfahrung als Syndikusanwalt von Software- und Medienunternehmen.

Zurück